Злоумышленник под эгидой Magecart заразил неизвестное количество сайтов электронной коммерции в США, Великобритании и пяти других странах вредоносным ПО для скимминга номеров кредитных карт и личной информации (PII), принадлежащей людям, совершающим покупки на этих сайтах. Но есть и другая проблема: субъект угрозы также использует те же сайты в качестве хостов для доставки вредоносного ПО для скимминга карт на другие целевые сайты.
Исследователи из Акамаи кто заметил текущую кампанию, обратите внимание, что это не только отличает кампанию от предыдущей деятельности Magecart, но и делает ее намного более опасной.
По их оценкам, кибератаки продолжаются как минимум один месяц и потенциально затронули уже десятки тысяч человек. Akamai заявила, что помимо США и Великобритании, она обнаружила сайты, затронутые кампанией в Бразилии, Испании, Эстонии, Австралии и Перу.
Кража платежных карт и многое другое: двойной компромисс
Magecart — это разрозненный коллектив киберпреступных групп, занимающихся атаками со скиммингом платежных карт в Интернете. За последние несколько лет эти группы внедрили свои одноименные карточные скиммеры на десятки тысяч сайтов по всему миру, включая такие сайты, как TicketMaster и British Airways — и украли у них миллионы кредитных карт, которые потом разными способами монетизировали.
В прошлом году Akamai насчитала атаки Magecart на 9,200 сайтов электронной коммерции, из которых 2,468 оставались зараженными по состоянию на конец 2022 года.
типичный образ действия для этих групп заключалась в том, чтобы тайно внедрять вредоносный код в законные сайты электронной коммерции или в сторонние компоненты, такие как трекеры и корзины покупок, которые используют эти сайты, используя известные уязвимости. Когда пользователи вводят информацию о кредитной карте и другие конфиденциальные данные на странице оформления заказа на взломанном веб-сайте, скиммеры незаметно перехватывают данные и отправляют их на удаленный сервер. До сих пор в атаках Magecart злоумышленники в основном нацеливались на сайты, на которых работает платформа электронной коммерции Magento с открытым исходным кодом.
Последняя кампания немного отличается тем, что злоумышленник не просто внедряет скиммер карты Magecart на целевые сайты, но также захватывает многие из них для распространения вредоносного кода.
«Одним из основных преимуществ использования законных доменов веб-сайтов является неотъемлемое доверие, которое эти домены создали с течением времени», — говорится в анализе Akamai. «Службы безопасности и системы оценки доменов обычно присваивают более высокие уровни доверия доменам с положительной репутацией и историей законного использования. В результате у вредоносных действий, совершаемых в этих доменах, больше шансов остаться незамеченными или рассматриваться автоматизированными системами безопасности как безопасные».
Кроме того, злоумышленник, стоящий за последней операцией, также атаковал сайты, на которых работает не только Magento, но и другое программное обеспечение, такое как WooCommerce, Shopify и WordPress.
Другой подход, тот же результат
«Одной из наиболее примечательных частей кампании является то, как злоумышленники настроили свою инфраструктуру для проведения кампании веб-скимминга», — написал в своем блоге исследователь Akamai Роман Львовский. «Прежде чем кампания сможет начаться всерьез, злоумышленники будут искать уязвимые веб-сайты, чтобы действовать как «хосты» для вредоносного кода, который позже используется для создания атаки веб-скимминга».
Анализ кампании, проведенный Akamai, показал, что злоумышленник использовал несколько уловок, чтобы скрыть вредоносную активность. Например, вместо того, чтобы внедрить скиммер непосредственно на целевой веб-сайт, Akamai обнаружил, что злоумышленник внедрил небольшой фрагмент кода JavaScript на свои веб-страницы, которые затем получили вредоносный скиммер с хост-сайта.
Злоумышленник разработал загрузчик JavaScript так, чтобы он выглядел как Диспетчер тегов Google, код отслеживания Facebook Pixel и другие законные сторонние службы, поэтому его трудно обнаружить. Оператор продолжающейся кампании, подобной Magecart, также использует кодировку Base64 для запутывания URL-адресов взломанных веб-сайтов, на которых размещен скиммер.
«Процесс эксфильтрации украденных данных выполняется с помощью простого HTTP-запроса, который инициируется созданием тега IMG в коде скиммера», — написал Львовский. «Затем украденные данные добавляются к запросу в виде параметров запроса, закодированных в виде строки Base64».
В качестве сложной детали Akamai также обнаружил код во вредоносном ПО для скиммера, который гарантировал, что одна и та же кредитная карта и личная информация не будут украдены дважды.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- ПлатонАйСтрим. Анализ данных Web3. Расширение знаний. Доступ здесь.
- Чеканка будущего с Эдриенн Эшли. Доступ здесь.
- Покупайте и продавайте акции компаний PREIPO® с помощью PREIPO®. Доступ здесь.
- Источник: https://www.darkreading.com/attacks-breaches/different-kind-magecart-card-skimming-campaign
- :имеет
- :является
- :нет
- $UP
- 200
- 2022
- 9
- a
- По
- Действие (Act):
- активно
- деятельность
- дополнение
- Преимущества
- Akamai
- уже
- Также
- an
- анализ
- и
- подхода
- AS
- At
- атаковать
- Атакующий
- нападки
- Австралия
- Автоматизированный
- становится
- было
- до
- за
- не являетесь
- Блог
- Бразилия
- построенный
- но
- by
- Кампания
- CAN
- карта
- Карты
- шанс
- Оформить заказ
- код
- собирательный
- компоненты
- Ослабленный
- Проводить
- проводятся
- страны
- Создайте
- Создающий
- кредит
- кредитная карта
- Кредитные карты
- кибератаки
- КИБЕРПРЕСТУПНИК
- опасно
- данным
- доставки
- предназначенный
- подробность
- DID
- различный
- непосредственно
- распространять
- домен
- доменов
- двойной
- электронная коммерция
- конец
- Enter
- Эстония
- Эфир (ETH)
- пример
- выполненный
- что его цель
- далеко
- Получено
- Что касается
- найденный
- от
- будет
- Группы
- Жесткий
- Есть
- высший
- история
- кашель
- хостинг
- хостов
- HTTP
- HTTPS
- in
- В том числе
- расширились
- информация
- Инфраструктура
- свойственный
- вводить
- вместо
- в
- вовлеченный
- IT
- ЕГО
- JavaScript
- JPG
- всего
- Вид
- известный
- Фамилия
- В прошлом году
- новее
- последний
- наименее
- законный
- уровни
- такое как
- загрузчик
- посмотреть
- выглядит как
- ДЕЛАЕТ
- Создание
- вредоносных программ
- менеджер
- многих
- миллионы
- Месяц
- БОЛЕЕ
- самых
- с разными
- Новые
- примечательный
- номер
- номера
- of
- on
- ONE
- постоянный
- онлайн
- открытый
- с открытым исходным кодом
- операция
- оператор
- or
- Другое
- за
- страница
- параметры
- части
- мимо
- оплата
- Люди
- личного
- Лично
- Перу
- PII
- Pixel
- Платформа
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- положительный
- После
- потенциально
- в первую очередь
- первичный
- Предварительный
- процесс
- Покупка
- запись
- остались
- удаленные
- запросить
- исследователь
- исследователи
- результат
- Бег
- s
- Сказал
- то же
- счет
- безопасность
- Охранные системы
- Искать
- Отправить
- чувствительный
- Услуги
- набор
- несколько
- Shopify
- Шоппинг
- показал
- Сайтов
- скиммеры
- снятие пены
- немного отличается
- небольшой
- So
- уже
- Software
- сложный
- Источник
- Испания
- Спотовая торговля
- Начало
- украли
- простой
- строка
- такие
- системы
- TAG
- цель
- целевое
- десятки
- который
- Ассоциация
- кража
- их
- Их
- тогда
- Эти
- они
- сторонние
- этой
- тысячи
- угроза
- Через
- время
- в
- трек
- трекеры
- Отслеживание
- Доверие
- Дважды
- типичный
- типично
- Uk
- под
- неизвестный
- us
- использование
- используемый
- пользователей
- через
- Использующий
- Уязвимости
- Уязвимый
- Путь..
- способы
- Web
- Вебсайт
- веб-сайты
- когда
- который
- КТО
- будете
- в
- WordPress
- по всему миру
- год
- лет
- зефирнет