En angriber under Magecart-paraplyen har inficeret et ukendt antal e-handelswebsteder i USA, Storbritannien og fem andre lande med malware til skimming af kreditkortnumre og personligt identificerbare oplysninger (PII) tilhørende personer, der foretager køb på disse websteder. Men i en ny rynke bruger trusselsaktøren også de samme websteder som værter til at levere kortskimmende malware til andre målwebsteder.
Forskere fra Akamai som har set den igangværende kampagne, bemærker, at dette ikke kun gør kampagnen anderledes end tidligere Magecart-aktivitet, men den er også meget farligere.
De vurderer, at cyberangrebene har stået på i mindst en måned og potentielt har ramt titusindvis af mennesker allerede. Akamai sagde, at den ud over USA og Storbritannien har set websteder, der er berørt af kampagnen i Brasilien, Spanien, Estland, Australien og Peru.
Betalingskorttyveri og mere: Et dobbelt kompromis
Magecart er et løst kollektiv af cyberkriminelle grupper involveret i online betalingskort-skimming-angreb. I løbet af de sidste mange år har disse grupper sprøjtet deres navnebror kortskimmere ind i titusindvis af websteder verden over - inklusive websteder som f.eks. Billetmester , British Airways -og stjålet millioner af kreditkort fra dem, som de så har tjent penge på på forskellige måder.
Akamai talte Magecart-angreb på 9,200 e-handelswebsteder sidste år, hvoraf 2,468 forblev inficeret ved udgangen af 2022.
Den typiske Juicy Fruit for disse grupper har i det skjulte injiceret ondsindet kode i legitime e-handelswebsteder - eller i tredjepartskomponenter såsom trackere og indkøbskurve - som webstederne bruger, ved at udnytte kendte sårbarheder. Når brugere indtaster kreditkortoplysninger og andre følsomme data på betalingssiden på kompromitterede websteder, opsnapper skimmerne dataene og sender dem til en ekstern server. Indtil videre har angribere primært målrettet websteder, der kører open source Magento e-handelsplatformen i Magecart-angreb.
Den seneste kampagne er lidt anderledes ved, at angriberen ikke bare injicerer en Magecart-kortskimmer på målwebsteder, men også kaprer mange af dem for at distribuere ondsindet kode.
"En af de primære fordele ved at bruge legitime webstedsdomæner er den iboende tillid, som disse domæner har opbygget over tid," ifølge Akamai-analysen. "Sikkerhedstjenester og domæne-scoringssystemer tildeler typisk højere tillidsniveauer til domæner med en positiv track record og en historie med lovlig brug. Som et resultat har ondsindede aktiviteter udført under disse domæner en øget chance for at blive uopdaget eller blive behandlet som godartet af automatiserede sikkerhedssystemer."
Derudover har angriberen bag den seneste operation også angrebet websteder, der kører ikke bare Magento, men anden software, såsom WooCommerce, Shopify og WordPress.
En anden tilgang, samme resultat
"En af de mest bemærkelsesværdige dele af kampagnen er måden, hvorpå angriberne konfigurerede deres infrastruktur til at udføre web-skimming-kampagnen," skrev Akamai-forsker Roman Lvovsky i blogindlægget. "Før kampagnen kan starte for alvor, vil angriberne søge efter sårbare websteder for at fungere som 'værter' for den ondsindede kode, der senere bruges til at skabe webskimming-angrebet."
Akamais analyse af kampagnen viste, at angriberen brugte flere tricks til at sløre den ondsindede aktivitet. For eksempel, i stedet for at injicere skimmeren direkte på et målwebsted, fandt Akamai, at angriberen indsprøjtede et lille JavaScript-kodestykke på sine websider, som derefter hentede den ondsindede skimmer fra et værtswebsted.
Angriberen designede JavaScript-indlæseren til at ligne Google Tag Manager, Facebook Pixel-sporingskode og andre legitime tredjepartstjenester, så det bliver svært at få øje på. Operatøren af den igangværende Magecart-lignende kampagne har også brugt Base64-kodning til at sløre URL'erne på kompromitterede websteder, der hoster skimmeren.
"Processen med at eksfiltrere de stjålne data udføres gennem en ligetil HTTP-anmodning, som initieres ved at oprette et IMG-tag i skimmerkoden," skrev Lvovsky. "De stjålne data føjes derefter til anmodningen som forespørgselsparametre, kodet som en Base64-streng."
Som en sofistikeret detalje fandt Akamai også kode i skimmer-malwaren, der sikrede, at den ikke stjal de samme kreditkort- og personlige oplysninger to gange.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoAiStream. Web3 Data Intelligence. Viden forstærket. Adgang her.
- Udmøntning af fremtiden med Adryenn Ashley. Adgang her.
- Køb og sælg aktier i PRE-IPO-virksomheder med PREIPO®. Adgang her.
- Kilde: https://www.darkreading.com/attacks-breaches/different-kind-magecart-card-skimming-campaign