Зловмисник під егідою Magecart заразив невідому кількість сайтів електронної комерції в США, Великобританії та п’яти інших країнах зловмисним програмним забезпеченням для сканування номерів кредитних карток і ідентифікаційної інформації (PII), що належить людям, які здійснюють покупки на цих сайтах. Але в новій складності зловмисник також використовує ті самі сайти як хости для доставки зловмисного програмного забезпечення для сканування карток на інші цільові сайти.
Дослідники з Акамай Хто помітив поточну кампанію, зауважив, що це не тільки робить кампанію відмінною від попередньої діяльності Magecart, але й набагато небезпечнішою.
За їх оцінками, кібератаки тривають щонайменше місяць і потенційно вже вплинули на десятки тисяч людей. Akamai повідомила, що окрім США та Великобританії, вона помітила сайти, які постраждали від кампанії, у Бразилії, Іспанії, Естонії, Австралії та Перу.
Крадіжка платіжної картки та інше: подвійний компроміс
Magecart — це вільна група груп кіберзлочинців, які займаються атаками на онлайн-платіжні картки. Протягом останніх кількох років ці групи впровадили свої однойменні карткові скімери в десятки тисяч сайтів по всьому світу, включаючи такі сайти, як TicketMaster та British Airways —і вкрали у них мільйони кредитних карток, які потім монетизували різними способами.
Минулого року Akamai підрахувала атаки Magecart на 9,200 сайтів електронної комерції, з яких станом на кінець 2,468 року 2022 залишалися зараженими.
Типовий образ дії для цих груп полягала в таємному впровадженні зловмисного коду в законні сайти електронної комерції — або в сторонні компоненти, такі як трекери та кошики для покупок — які використовують сайти, використовуючи відомі вразливості. Коли користувачі вводять дані кредитної картки та інші конфіденційні дані на сторінці оформлення скомпрометованих веб-сайтів, скімери мовчки перехоплюють дані та надсилають їх на віддалений сервер. Поки що зловмисники в основному націлювалися на сайти, на яких працює платформа електронної комерції Magento з відкритим кодом, під час атак Magecart.
Остання кампанія дещо відрізняється тим, що зловмисник не просто вставляє скімер картки Magecart на цільові сайти, але також захоплює багато з них, щоб поширювати шкідливий код.
Згідно з аналізом Akamai, «одна з головних переваг використання законних доменів веб-сайтів — це довіра, яку ці домени створили з часом». «Служби безпеки та системи оцінки доменів зазвичай призначають вищі рівні довіри доменам із позитивною репутацією та історією законного використання. У результаті зловмисна діяльність, яка здійснюється в цих доменах, має підвищений шанс залишитися непоміченою або розглядатися автоматизованими системами безпеки як доброякісна».
Крім того, зловмисник, який стоїть за останньою операцією, також атакував сайти, на яких працює не лише Magento, а й інше програмне забезпечення, наприклад WooCommerce, Shopify і WordPress.
Інший підхід, той самий результат
«Однією з найпомітніших частин кампанії є те, як зловмисники налаштували свою інфраструктуру для проведення кампанії веб-перегляду», — написав дослідник Akamai Роман Львівський у повідомленні в блозі. «Перед тим, як кампанія почнеться всерйоз, зловмисники будуть шукати вразливі веб-сайти, щоб виступати в якості «хостів» для зловмисного коду, який згодом буде використано для створення веб-атаки».
Аналіз кампанії, проведений Akamai, показав, що зловмисник використовував кілька прийомів, щоб приховати зловмисну діяльність. Наприклад, замість того, щоб вводити скімер безпосередньо в цільовий веб-сайт, Akamai виявив, що зловмисник вставляє невеликий фрагмент коду JavaScript на його веб-сторінки, який потім отримує шкідливий скімер із веб-сайту хосту.
Зловмисник розробив завантажувач JavaScript так, щоб він виглядав як Google Tag Manager, код відстеження Facebook Pixel та інші законні сторонні служби, тому його важко помітити. Оператор поточної кампанії, подібної до Magecart, також використовував кодування Base64 для обфускації URL-адрес скомпрометованих веб-сайтів, на яких розміщено скіммер.
«Процес вилучення вкрадених даних виконується через простий HTTP-запит, який ініціюється створенням тегу IMG у коді скіммера», — написав Львівський. «Викрадені дані потім додаються до запиту як параметри запиту, закодовані як рядок Base64».
Як складну деталь, Akamai також знайшов код у шкідливому програмному забезпеченні skimmer, який гарантував, що він не вкраде ту саму кредитну картку та особисту інформацію двічі.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoAiStream. Web3 Data Intelligence. Розширення знань. Доступ тут.
- Карбування майбутнього з Адріенн Ешлі. Доступ тут.
- Купуйте та продавайте акції компаній, які вийшли на IPO, за допомогою PREIPO®. Доступ тут.
- джерело: https://www.darkreading.com/attacks-breaches/different-kind-magecart-card-skimming-campaign
- : має
- :є
- : ні
- $UP
- 200
- 2022
- 9
- a
- За
- Діяти
- діяльності
- діяльність
- доповнення
- Переваги
- Akamai
- вже
- Також
- an
- аналіз
- та
- підхід
- AS
- At
- атака
- Атакуючий
- нападки
- Австралія
- Автоматизований
- стає
- було
- перед тим
- за
- буття
- Блог
- Brazil
- побудований
- але
- by
- Кампанія
- CAN
- карта
- Cards
- шанс
- Введіть дані:
- код
- Collective
- Компоненти
- Компрометація
- Проводити
- проводиться
- країни
- створювати
- створення
- кредит
- кредитна картка
- Кредитні карти
- кібератаки
- КІБЕРЗЛОЧИНЦІВ
- Небезпечний
- дані
- надання
- призначений
- деталь
- DID
- різний
- безпосередньо
- поширювати
- домен
- домени
- подвійний
- e-commerce
- кінець
- Що натомість? Створіть віртуальну версію себе у
- естонія
- Ефір (ETH)
- приклад
- виконано
- далеко
- Отримано
- для
- знайдений
- від
- буде
- Групи
- Жорсткий
- Мати
- вище
- історія
- господар
- хостинг
- хостів
- HTTP
- HTTPS
- in
- У тому числі
- збільшений
- інформація
- Інфраструктура
- притаманне
- вводити
- замість
- в
- залучений
- IT
- ЙОГО
- JavaScript
- JPG
- просто
- Дитина
- відомий
- останній
- Минулого року
- пізніше
- останній
- найменш
- законний
- рівні
- як
- завантажувач
- подивитися
- виглядає як
- РОБОТИ
- Робить
- шкідливих програм
- менеджер
- багато
- мільйони
- місяць
- більше
- найбільш
- множинний
- Нові
- Помітний
- номер
- номера
- of
- on
- ONE
- постійний
- онлайн
- відкрити
- з відкритим вихідним кодом
- операція
- оператор
- or
- Інше
- над
- сторінка
- параметри
- частини
- Минуле
- оплата
- Люди
- персонал
- Особисто
- Перу
- пій
- піксель
- платформа
- plato
- Інформація про дані Платона
- PlatoData
- позитивний
- пошта
- потенційно
- в першу чергу
- первинний
- попередній
- процес
- Купівля
- запис
- залишився
- віддалений
- запросити
- дослідник
- Дослідники
- результат
- біг
- s
- Зазначений
- то ж
- рахунок
- безпеку
- системи безпеки
- Шукати
- послати
- чутливий
- Послуги
- комплект
- кілька
- Shopify
- покупка
- показав
- сайти
- скиммери
- скиммінг
- трохи відрізняється
- невеликий
- So
- так далеко
- Софтвер
- складний
- Source
- Іспанія
- Spot
- старт
- вкрали
- просто
- рядок
- такі
- Systems
- TAG
- Мета
- цільове
- тензор
- Що
- Команда
- крадіжка
- їх
- Їх
- потім
- Ці
- вони
- третя сторона
- це
- тисячі
- загроза
- через
- час
- до
- трек
- трекери
- Відстеження
- Довіряйте
- Двічі
- типовий
- типово
- Uk
- при
- невідомий
- us
- використання
- використовуваний
- користувачі
- використання
- використовує
- Уразливості
- Вразливий
- шлях..
- способи
- Web
- веб-сайт
- веб-сайти
- коли
- який
- ВООЗ
- волі
- з
- в
- WordPress
- світовий
- рік
- років
- зефірнет