Forskare upptäcker en annan typ av Magecart-kortskidningskampanj

En angripare under Magecart-paraplyet har infekterat ett okänt antal e-handelssajter i USA, Storbritannien och fem andra länder med skadlig programvara för att skumma kreditkortsnummer och personligt identifierbar information (PII) som tillhör personer som gör köp på dessa webbplatser. Men i en ny rynka använder hotaktören också samma sajter som värdar för att leverera kortskimmande skadlig kod till andra målsajter.

Forskare från Akamai som upptäckte den pågående kampanjen noterar att detta inte bara skiljer kampanjen från tidigare Magecart-aktivitet, utan det är också mycket farligare.

De bedömer att cyberattackerna har pågått i minst en månad och potentiellt har påverkat tiotusentals människor redan. Akamai sa att man förutom USA och Storbritannien har upptäckt webbplatser som påverkats av kampanjen i Brasilien, Spanien, Estland, Australien och Peru.

Stöld av betalkort med mera: En dubbel kompromiss

Magecart är ett löst kollektiv av cyberkriminella grupper som är involverade i online-attacker med betalningskort. Under de senaste åren har dessa grupper injicerat sina kortskimmare med samma namn på tiotusentals webbplatser över hela världen – inklusive sajter som t.ex. Ticket Master och British Airways —och stulit miljontals kreditkort från dem, som de sedan har tjänat pengar på på olika sätt. 

Akamai räknade Magecart-attacker på 9,200 2,468 e-handelssajter förra året, varav 2022 XNUMX förblev infekterade i slutet av XNUMX.

Det typiska Juicy Fruit för dessa grupper har varit att i smyg injicera skadlig kod i legitima e-handelssajter – eller i tredjepartskomponenter som spårare och kundvagnar – som sajterna använder, genom att utnyttja kända sårbarheter. När användare anger kreditkortsinformation och andra känsliga uppgifter på kassasidan för intrång på webbplatser, avlyssnar skummare tyst informationen och skickar den till en fjärrserver. Hittills har angripare i första hand riktat sig mot sajter som kör e-handelsplattformen Magento med öppen källkod i Magecart-attacker.

Den senaste kampanjen är något annorlunda genom att angriparen inte bara injicerar en Magecart-kortskimmer på målsajter utan också kapar många av dem för att distribuera skadlig kod. 

"En av de främsta fördelarna med att använda legitima webbplatsdomäner är det inneboende förtroendet som dessa domäner har byggt upp över tiden", enligt Akamais analys. "Säkerhetstjänster och domänpoängsystem tilldelar vanligtvis högre förtroendenivåer till domäner med en positiv meritlista och en historia av legitim användning. Som ett resultat har skadliga aktiviteter som utförs under dessa domäner en ökad chans att bli oupptäckt eller behandlas som godartad av automatiserade säkerhetssystem.”

Dessutom har angriparen bakom den senaste operationen också attackerat webbplatser som kör inte bara Magento utan annan mjukvara, som WooCommerce, Shopify och WordPress.

Ett annat tillvägagångssätt, samma resultat

"En av de mest anmärkningsvärda delarna av kampanjen är hur angriparna ställer upp sin infrastruktur för att genomföra webbskumningskampanjen", skrev Akamai-forskaren Roman Lvovsky i blogginlägget. "Innan kampanjen kan starta på allvar kommer angriparna att söka efter sårbara webbplatser för att fungera som "värdar" för den skadliga kod som senare används för att skapa webbskimmingsattacken."

Akamais analys av kampanjen visade att angriparen använde flera trick för att fördunkla den skadliga aktiviteten. Till exempel, istället för att injicera skummaren direkt på en målwebbplats, hittade Akamai att angriparen injicerade ett litet JavaScript-kodavsnitt på sina webbsidor som sedan hämtade den skadliga skummaren från en värdwebbplats. 

Angriparen designade JavaScript-laddaren för att se ut som Google Tag Manager, Facebook Pixel-spårningskod och andra legitima tredjepartstjänster, så det blir svårt att upptäcka. Operatören av den pågående Magecart-liknande kampanjen har också använt Base64-kodning för att fördunkla webbadresserna till komprometterade webbplatser som är värd för skimmern. 

"Processen att exfiltrera den stulna informationen exekveras genom en enkel HTTP-förfrågan, som initieras genom att skapa en IMG-tagg i skimmerkoden", skrev Lvovsky. "Den stulna data läggs sedan till begäran som frågeparametrar, kodad som en Base64-sträng."

Som en sofistikerad detalj hittade Akamai också kod i skimmer-skadlig programvara som säkerställde att den inte stal samma kreditkort och personlig information två gånger.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoAiStream. Web3 Data Intelligence. Kunskap förstärkt. Tillgång här.
• Minting the Future med Adryenn Ashley. Tillgång här.
• Köp och sälj aktier i PRE-IPO-företag med PREIPO®. Tillgång här.
• Källa: https://www.darkreading.com/attacks-breaches/different-kind-magecart-card-skimming-campaign