Raziskovalci opažajo drugačno vrsto kampanje za posnemanje kartic Magecart

Napadalec pod okriljem Magecart je okužil neznano število spletnih mest za e-trgovino v ZDA, Veliki Britaniji in petih drugih državah z zlonamerno programsko opremo za posnemanje številk kreditnih kartic in osebno določljivih podatkov (PII), ki pripadajo ljudem, ki kupujejo na teh straneh. Toda v novi gubi povzročitelj grožnje uporablja tudi ista spletna mesta kot gostitelje za dostavo zlonamerne programske opreme za posnemanje kartic drugim ciljnim mestom.

Raziskovalci iz Akamai ki so opazili tekočo kampanjo, ugotavljajo, da se zaradi tega kampanja ne razlikuje le od prejšnje dejavnosti Magecart, ampak je tudi veliko bolj nevarna.

Ocenjujejo, da kibernetski napadi trajajo že najmanj en mesec in so potencialno prizadeli že več deset tisoč ljudi. Akamai je dejal, da je poleg ZDA in Združenega kraljestva opazil spletne strani, ki jih je kampanja prizadela v Braziliji, Španiji, Estoniji, Avstraliji in Peruju.

Kraja plačilne kartice in več: dvojni kompromis

Magecart je ohlapna skupina kibernetskih kriminalnih skupin, ki se ukvarjajo z napadi posnemanja spletnih plačilnih kartic. V zadnjih nekaj letih so te skupine vbrizgale svoje istoimenske skimmerje kartic na desettisoče spletnih mest po vsem svetu – vključno s spletnimi mesti, kot je TicketMaster in British Airways — in jim ukradli milijone kreditnih kartic, ki so jih nato unovčili na različne načine. 

Akamai je lani preštel napade Magecart na 9,200 spletnih mest za e-trgovino, od katerih jih je do konca leta 2,468 ostalo 2022 okuženih.

Tipična Juicy Fruit za te skupine je bilo prikrito vbrizgavanje zlonamerne kode v zakonita spletna mesta za e-trgovino – ali v komponente tretjih oseb, kot so sledilniki in nakupovalni vozički –, ki jih spletna mesta uporabljajo, z izkoriščanjem znanih ranljivosti. Ko uporabniki vnesejo podatke o kreditni kartici in druge občutljive podatke na strani za nakup ogroženih spletnih mest, skimmerji tiho prestrežejo podatke in jih pošljejo oddaljenemu strežniku. Doslej so napadalci v napadih Magecart ciljali predvsem na spletna mesta, ki izvajajo odprtokodno platformo za e-trgovino Magento.

Najnovejša kampanja je nekoliko drugačna v tem, da napadalec ne samo vstavi skimmer kartice Magecart v ciljna spletna mesta, ampak tudi ugrabi mnoga od njih za distribucijo zlonamerne kode. 

"Ena od glavnih prednosti uporabe zakonitih domen spletnega mesta je inherentno zaupanje, ki so ga te domene pridobile skozi čas," glede na analizo Akamai. »Varnostne storitve in sistemi točkovanja domen običajno dodelijo višje stopnje zaupanja domenam s pozitivnimi rezultati in zgodovino zakonite uporabe. Posledično imajo zlonamerne dejavnosti, ki se izvajajo pod temi domenami, večjo možnost, da ostanejo neodkrite ali da jih avtomatizirani varnostni sistemi obravnavajo kot benigne.«

Poleg tega je napadalec za zadnjo operacijo napadal tudi spletna mesta, ki poganjajo ne samo Magento, ampak tudi drugo programsko opremo, kot so WooCommerce, Shopify in WordPress.

Drugačen pristop, enak rezultat

"Eden najbolj opaznih delov kampanje je način, na katerega so napadalci vzpostavili svojo infrastrukturo za izvajanje spletne kampanje," je v objavi na blogu zapisal raziskovalec Akamai Roman Lvovsky. "Preden se bo kampanja lahko začela resno, bodo napadalci poiskali ranljiva spletna mesta, ki bodo delovala kot 'gostitelji' za zlonamerno kodo, ki se kasneje uporabi za ustvarjanje napada spletnega posnemanja."

Akamaijeva analiza kampanje je pokazala, da je napadalec uporabil več trikov, da bi zakril zlonamerno dejavnost. Na primer, namesto da bi skimmer vbrizgal neposredno v ciljno spletno mesto, je Akamai ugotovil, da je napadalec v svoje spletne strani vbrizgal majhen delček kode JavaScript, ki je nato zlonamerni skimmer pridobil s spletnega mesta gostitelja. 

Napadalec je zasnoval nalagalnik JavaScript tako, da je videti kot Google Tag Manager, koda za sledenje Facebook Pixel in druge zakonite storitve tretjih oseb, zato ga je težko opaziti. Upravljavec tekoče kampanje, podobne Magecartu, je prav tako uporabljal kodiranje Base64 za zameglitev URL-jev ogroženih spletnih mest, ki gostijo skimmer. 

"Postopek izločanja ukradenih podatkov se izvede prek preproste zahteve HTTP, ki se sproži z ustvarjanjem oznake IMG znotraj kode skimmerja," je zapisal Lvovsky. "Ukradeni podatki se nato dodajo zahtevi kot parametri poizvedbe, kodirani kot niz Base64."

Kot prefinjeno podrobnost je Akamai našel tudi kodo v zlonamerni programski opremi skimmer, ki je zagotovila, da ni dvakrat ukradel iste kreditne kartice in osebnih podatkov.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoAiStream. Podatkovna inteligenca Web3. Razširjeno znanje. Dostopite tukaj.
• Kovanje prihodnosti z Adryenn Ashley. Dostopite tukaj.
• Kupujte in prodajajte delnice podjetij pred IPO s PREIPO®. Dostopite tukaj.
• vir: https://www.darkreading.com/attacks-breaches/different-kind-magecart-card-skimming-campaign