Ein Angreifer unter dem Dach von Magecart hat eine unbekannte Anzahl von E-Commerce-Websites in den USA, Großbritannien und fünf weiteren Ländern mit Malware infiziert, um Kreditkartennummern und persönlich identifizierbare Informationen (PII) von Personen abzugreifen, die auf diesen Websites Einkäufe tätigen. Aber in einer neuen Form nutzt der Bedrohungsakteur auch dieselben Websites als Hosts, um die Card-Skimming-Malware an andere Ziel-Websites zu übermitteln.
Forscher von Akamai Wer die laufende Kampagne entdeckt hat, weist darauf hin, dass sich die Kampagne dadurch nicht nur von früheren Magecart-Aktivitäten unterscheidet, sondern auch viel gefährlicher ist.
Sie gehen davon aus, dass die Cyberangriffe bereits seit mindestens einem Monat andauern und möglicherweise bereits Zehntausende Menschen betroffen haben. Akamai sagte, dass es neben den USA und Großbritannien auch Websites entdeckt habe, die von der Kampagne in Brasilien, Spanien, Estland, Australien und Peru betroffen seien.
Zahlungskartendiebstahl und mehr: Ein doppelter Kompromiss
Magecart ist ein loser Zusammenschluss von Cyberkriminellengruppen, die an Online-Angriffen zum Ausspionieren von Zahlungskarten beteiligt sind. In den letzten Jahren haben diese Gruppen ihre gleichnamigen Kartenskimmer in Zehntausende von Websites weltweit eingeschleust – darunter Websites wie Ticketmaster und British Airways – und ihnen Millionen von Kreditkarten gestohlen, die sie dann auf unterschiedliche Weise monetarisiert haben.
Akamai zählte im vergangenen Jahr Magecart-Angriffe auf 9,200 E-Commerce-Websites, von denen Ende 2,468 noch 2022 infiziert waren.
Das typische Verfahrensweise Der Angriff dieser Gruppen besteht darin, heimlich bösartigen Code in legitime E-Commerce-Websites einzuschleusen – oder in von diesen Websites verwendete Komponenten von Drittanbietern wie Tracker und Einkaufswagen – und dabei bekannte Schwachstellen auszunutzen. Wenn Benutzer Kreditkarteninformationen und andere sensible Daten auf der Checkout-Seite kompromittierter Websites eingeben, fangen die Skimmer die Daten stillschweigend ab und senden sie an einen Remote-Server. Bisher haben Angreifer bei Magecart-Angriffen vor allem Websites ins Visier genommen, auf denen die Open-Source-E-Commerce-Plattform Magento läuft.
Die neueste Kampagne unterscheidet sich geringfügig darin, dass der Angreifer nicht nur einen Magecart-Kartenskimmer in Zielstandorte einschleust, sondern auch viele davon kapert, um Schadcode zu verbreiten.
„Einer der Hauptvorteile der Nutzung legitimer Website-Domains ist das inhärente Vertrauen, das diese Domains im Laufe der Zeit aufgebaut haben“, heißt es in der Akamai-Analyse. „Sicherheitsdienste und Domänenbewertungssysteme weisen Domänen mit einer positiven Erfolgsbilanz und einer rechtmäßigen Nutzungshistorie in der Regel höhere Vertrauensstufen zu. Dadurch besteht bei böswilligen Aktivitäten, die unter diesen Domains durchgeführt werden, ein erhöhtes Risiko, unentdeckt zu bleiben oder von automatisierten Sicherheitssystemen als harmlos behandelt zu werden.“
Darüber hinaus hat der Angreifer hinter der neuesten Operation auch Websites angegriffen, auf denen nicht nur Magento, sondern auch andere Software wie WooCommerce, Shopify und WordPress ausgeführt wird.
Ein anderer Ansatz, das gleiche Ergebnis
„Einer der bemerkenswertesten Teile der Kampagne ist die Art und Weise, wie die Angreifer ihre Infrastruktur für die Durchführung der Web-Skimming-Kampagne eingerichtet haben“, schrieb Akamai-Forscher Roman Lvovsky in dem Blogbeitrag. „Bevor die Kampagne ernsthaft starten kann, suchen die Angreifer nach anfälligen Websites, um als ‚Hosts‘ für den Schadcode zu fungieren, der später für den Web-Skimming-Angriff verwendet wird.“
Die Analyse der Kampagne durch Akamai ergab, dass der Angreifer mehrere Tricks einsetzte, um die böswillige Aktivität zu verschleiern. Anstatt den Skimmer beispielsweise direkt in eine Zielwebsite einzuschleusen, stellte Akamai fest, dass der Angreifer ein kleines JavaScript-Code-Snippet in seine Webseiten einschleuste, das dann den bösartigen Skimmer von einer Host-Website holte.
Der Angreifer hat den JavaScript-Loader so gestaltet, dass er wie Google Tag Manager, Facebook-Pixel-Tracking-Code und andere legitime Dienste von Drittanbietern aussieht, sodass er schwer zu erkennen ist. Der Betreiber der laufenden Magecart-ähnlichen Kampagne hat außerdem Base64-Codierung verwendet, um die URLs kompromittierter Websites, auf denen der Skimmer gehostet wird, zu verschleiern.
„Der Prozess der Exfiltration der gestohlenen Daten wird über eine einfache HTTP-Anfrage ausgeführt, die durch die Erstellung eines IMG-Tags im Skimmer-Code initiiert wird“, schrieb Lvovsky. „Die gestohlenen Daten werden dann als Abfrageparameter, codiert als Base64-String, an die Anfrage angehängt.“
Als raffiniertes Detail fand Akamai außerdem Code in der Skimmer-Malware, der sicherstellte, dass dieselbe Kreditkarte und dieselben persönlichen Daten nicht zweimal gestohlen wurden.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoAiStream. Web3-Datenintelligenz. Wissen verstärkt. Hier zugreifen.
- Die Zukunft prägen mit Adryenn Ashley. Hier zugreifen.
- Kaufen und verkaufen Sie Anteile an PRE-IPO-Unternehmen mit PREIPO®. Hier zugreifen.
- Quelle: https://www.darkreading.com/attacks-breaches/different-kind-magecart-card-skimming-campaign