Osoba atakująca działająca pod patronatem Magecart zainfekowała nieznaną liczbę witryn e-commerce w USA, Wielkiej Brytanii i pięciu innych krajach złośliwym oprogramowaniem służącym do przeglądania numerów kart kredytowych i danych osobowych należących do osób dokonujących zakupów w tych witrynach. Co więcej, ugrupowanie zagrażające wykorzystuje również te same witryny, co hosty, do dostarczania szkodliwego oprogramowania skanującego karty do innych witryn docelowych.
Naukowcy z Akamai który zauważył trwającą kampanię, zauważył, że to nie tylko odróżnia ją od wcześniejszych działań Magecart, ale jest także znacznie bardziej niebezpieczna.
Oceniają, że cyberataki trwają od co najmniej miesiąca i potencjalnie dotknęły już dziesiątki tysięcy osób. Akamai powiedział, że oprócz Stanów Zjednoczonych i Wielkiej Brytanii zauważył witryny dotknięte kampanią w Brazylii, Hiszpanii, Estonii, Australii i Peru.
Kradzież kart płatniczych i nie tylko: podwójny kompromis
Magecart to luźna kolektyw grup cyberprzestępczych zaangażowanych w ataki typu skimming kart płatniczych online. W ciągu ostatnich kilku lat grupy te umieściły skimmery kart o tej samej nazwie w dziesiątkach tysięcy witryn na całym świecie — w tym witryn takich jak BiletMaster i British Airways – i ukradł im miliony kart kredytowych, na których następnie zarabiał na różne sposoby.
Akamai naliczył w ubiegłym roku ataki Magecart na 9,200 witryn e-commerce, z których na koniec 2,468 r. 2022 pozostało zainfekowanych.
Typowy modus operandi w przypadku tych grup polegało na potajemnym wstrzykiwaniu szkodliwego kodu do legalnych witryn handlu elektronicznego — lub do komponentów stron trzecich, takich jak moduły śledzące i koszyki na zakupy — używanych przez te witryny, poprzez wykorzystanie znanych luk w zabezpieczeniach. Kiedy użytkownicy wprowadzają dane karty kredytowej i inne wrażliwe dane na stronie kasy zainfekowanych witryn, skimmery po cichu przechwytują dane i wysyłają je na zdalny serwer. Jak dotąd w atakach Magecart atakujący atakowali głównie witryny internetowe, na których działa platforma e-commerce Magento o otwartym kodzie źródłowym.
Najnowsza kampania różni się nieco tym, że osoba atakująca nie tylko umieszcza skimmer kart Magecart w docelowych witrynach, ale także przejmuje wiele z nich w celu dystrybucji szkodliwego kodu.
„Jedną z głównych zalet korzystania z legalnych domen internetowych jest nieodłączne zaufanie, jakie te domeny zbudowały z biegiem czasu” – wynika z analizy Akamai. „Służby bezpieczeństwa i systemy punktacji domen zazwyczaj przypisują wyższy poziom zaufania domenom z pozytywną historią i historią legalnego użytkowania. W rezultacie złośliwe działania prowadzone w tych domenach mają zwiększone ryzyko, że pozostaną niewykryte lub potraktowane jako niegroźne przez zautomatyzowane systemy bezpieczeństwa”.
Ponadto osoba atakująca stojąca za najnowszą operacją atakowała także witryny obsługujące nie tylko Magento, ale także inne oprogramowanie, takie jak WooCommerce, Shopify i WordPress.
Inne podejście, ten sam wynik
„Jedną z najbardziej godnych uwagi części kampanii jest sposób, w jaki osoby atakujące konfigurują swoją infrastrukturę do przeprowadzenia kampanii skimmingu w sieci” – napisał w poście na blogu Roman Lvovsky, badacz Akamai. „Zanim kampania zacznie się na dobre, osoby atakujące będą szukać podatnych na ataki witryn internetowych, które będą pełnić rolę „hostów” dla złośliwego kodu, który zostanie później wykorzystany do przeprowadzenia ataku polegającego na przeglądaniu stron internetowych”.
Analiza kampanii przeprowadzona przez Akamai wykazała, że osoba atakująca stosowała wiele sztuczek w celu zaciemnienia szkodliwej aktywności. Na przykład zamiast wstrzyknąć skimmer bezpośrednio do docelowej witryny internetowej, Akamai odkrył, że osoba atakująca wstrzyknęła do jej stron internetowych mały fragment kodu JavaScript, który następnie pobrał złośliwego skimmera z witryny hostującej.
Osoba atakująca zaprojektowała moduł ładujący JavaScript tak, aby wyglądał jak Menedżer tagów Google, kod śledzenia piksela Facebooka i inne legalne usługi stron trzecich, więc trudno go wykryć. Operator trwającej kampanii podobnej do Magecart również używał kodowania Base64 do zaciemniania adresów URL zainfekowanych stron internetowych, na których znajduje się skimmer.
„Proces wydobywania skradzionych danych odbywa się poprzez proste żądanie HTTP, które jest inicjowane poprzez utworzenie tagu IMG w kodzie skimmera” – napisał Lvovsky. „Skradzione dane są następnie dołączane do żądania jako parametry zapytania zakodowane jako ciąg znaków Base64.”
Jako wyrafinowany szczegół, Akamai znalazł również w złośliwym oprogramowaniu skimmera kod, który zapewniał, że nie kradnie on dwukrotnie tej samej karty kredytowej i danych osobowych.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoAiStream. Analiza danych Web3. Wiedza wzmocniona. Dostęp tutaj.
- Wybijanie przyszłości w Adryenn Ashley. Dostęp tutaj.
- Kupuj i sprzedawaj akcje spółek PRE-IPO z PREIPO®. Dostęp tutaj.
- Źródło: https://www.darkreading.com/attacks-breaches/different-kind-magecart-card-skimming-campaign
- :ma
- :Jest
- :nie
- $W GÓRĘ
- 200
- 2022
- 9
- a
- Stosownie
- działać
- zajęcia
- działalność
- dodatek
- Zalety
- Akamai
- już
- również
- an
- analiza
- i
- podejście
- AS
- At
- atakować
- Napadający
- Ataki
- Australia
- zautomatyzowane
- staje się
- być
- zanim
- za
- jest
- Blog
- Brazylia
- wybudowany
- ale
- by
- Kampania
- CAN
- karta
- Kartki okolicznosciowe
- szansa
- Koszyk
- kod
- Collective
- składniki
- Zagrożone
- Prowadzenie
- przeprowadzone
- kraje
- Stwórz
- Tworzenie
- kredyt
- Karta kredytowa
- Karty Kredytowe
- cyberataki
- CYBERPRZESTĘPCA
- Niebezpieczny
- dane
- dostarczanie
- zaprojektowany
- detal
- ZROBIŁ
- różne
- bezpośrednio
- rozprowadzać
- domena
- domeny
- Podwójna
- e-commerce
- zakończenia
- Wchodzę
- Estonia
- Eter (ETH)
- przykład
- wykonany
- daleko
- Pobrano
- W razie zamówieenia projektu
- znaleziono
- od
- będzie
- Grupy
- Ciężko
- Have
- wyższy
- historia
- gospodarz
- Hosting
- gospodarze
- http
- HTTPS
- in
- Włącznie z
- wzrosła
- Informacja
- Infrastruktura
- nieodłączny
- wstrzykiwać
- zamiast
- najnowszych
- zaangażowany
- IT
- JEGO
- JAVASCRIPT
- jpg
- właśnie
- Uprzejmy
- znany
- Nazwisko
- Ostatni rok
- później
- firmy
- najmniej
- prawowity
- poziomy
- lubić
- ładowarka
- Popatrz
- wygląda jak
- WYKONUJE
- Dokonywanie
- malware
- kierownik
- wiele
- miliony
- Miesiąc
- jeszcze
- większość
- wielokrotność
- Nowości
- dostojnik
- numer
- z naszej
- of
- on
- ONE
- trwający
- Online
- koncepcja
- open source
- działanie
- operator
- or
- Inne
- koniec
- strona
- parametry
- strony
- Przeszłość
- płatność
- Ludzie
- osobisty
- Osobiście
- Peru
- pii
- piksel
- Platforma
- plato
- Analiza danych Platona
- PlatoDane
- pozytywny
- Post
- potencjalnie
- głównie
- pierwotny
- Wcześniejszy
- wygląda tak
- zakupy
- rekord
- pozostał
- zdalny
- zażądać
- badacz
- Badacze
- dalsze
- bieganie
- s
- Powiedział
- taki sam
- punktacji
- bezpieczeństwo
- systemy bezpieczeństwa
- Szukajcie
- wysłać
- wrażliwy
- Usługi
- zestaw
- kilka
- Shopify
- Zakupy
- pokazał
- Witryny
- odpieniacze
- szumowanie
- trochę inny
- mały
- So
- dotychczas
- Tworzenie
- wyrafinowany
- Źródło
- Hiszpania
- Spot
- początek
- skradziony
- bezpośredni
- sznur
- taki
- systemy
- TAG
- cel
- ukierunkowane
- kilkadziesiąt
- że
- Połączenia
- kradzież
- ich
- Im
- następnie
- Te
- one
- innych firm
- to
- tysiące
- groźba
- Przez
- czas
- do
- śledzić
- trackery
- Śledzenie
- Zaufaj
- Dwa razy
- typowy
- zazwyczaj
- Uk
- dla
- nieznany
- us
- posługiwać się
- używany
- Użytkownicy
- za pomocą
- Wykorzystując
- Luki w zabezpieczeniach
- Wrażliwy
- Droga..
- sposoby
- sieć
- Strona internetowa
- strony internetowe
- jeśli chodzi o komunikację i motywację
- który
- KIM
- będzie
- w
- w ciągu
- WordPress
- na calym swiecie
- rok
- lat
- zefirnet
