Egy támadó a Magecart ernyője alatt ismeretlen számú e-kereskedelmi webhelyet fertőzött meg az Egyesült Államokban, az Egyesült Királyságban és öt másik országban rosszindulatú programokkal, amelyek hitelkártyaszámokat és személyazonosításra alkalmas információkat (PII) kérdeznek meg az ezeken az oldalakon vásárló emberektől. De egy új ráncban a fenyegetettség szereplője ugyanazokat a webhelyeket használja, mint a gazdagépek, hogy más céloldalakra továbbítsák a kártyaleolvasó kártevőket.
Akamai kutatók akik észrevették a folyamatban lévő kampányt, megjegyzik, hogy ez nemcsak különbözteti meg a kampányt a korábbi Magecar-tevékenységtől, hanem sokkal veszélyesebb is.
Úgy értékelik, hogy a kibertámadások már legalább egy hónapja tartanak, és potenciálisan már több tízezer embert érintettek. Az Akamai elmondta, hogy az Egyesült Államokon és az Egyesült Királyságon kívül Brazíliában, Spanyolországban, Észtországban, Ausztráliában és Peruban is észlelt a kampány által érintett webhelyeket.
Fizetőkártya-lopás és egyebek: kettős kompromisszum
A Magecart kiberbűnözői csoportok laza kollektívája, akik online fizetési kártya-lefölözési támadásokban vesznek részt. Az elmúlt néhány évben ezek a csoportok világszerte több tízezer webhelyre fecskendezték be névrokonu kártyaszkimmereiket – köztük olyan oldalakat, mint pl. TicketMasters és a British Airways – és több millió hitelkártyát loptak el tőlük, amelyeket aztán különböző módokon pénzzé tettek.
Az Akamai tavaly 9,200 e-kereskedelmi webhely ellen számolt Magecart támadást, amelyből 2,468 végén 2022 maradt fertőzött.
A tipikus modus operandi ezek a csoportok ugyanis titokban rosszindulatú kódokat juttattak be legitim e-kereskedelmi webhelyekre – vagy harmadik féltől származó összetevőkbe, például nyomkövetőkbe és bevásárlókocsikba –, amelyeket az oldalak használnak, az ismert sebezhetőségek kihasználásával. Amikor a felhasználók hitelkártya-információkat és egyéb érzékeny adatokat adnak meg a feltört webhelyek fizetési oldalán, a szkimmerek csendben elfogják az adatokat, és elküldik egy távoli szerverre. A támadók eddig elsősorban a nyílt forráskódú Magento e-kereskedelmi platformot futtató webhelyeket vették célba a Magecart támadásokban.
A legújabb kampány némileg eltér attól, hogy a támadó nemcsak Magecart kártya-szkimmert fecskendez be a céloldalakra, hanem sokat el is térít ezek közül, hogy rosszindulatú kódokat terjeszthessen.
„A legitim webhelydomainek használatának egyik elsődleges előnye az a belső bizalom, amelyet ezek a domainek az idők során kiépítettek” – áll az Akamai elemzésében. „A biztonsági szolgáltatások és a tartománypontozó rendszerek általában magasabb megbízhatósági szintet rendelnek a pozitív múlttal rendelkező és jogszerű használattal rendelkező tartományokhoz. Ennek eredményeként az ezeken a területeken végzett rosszindulatú tevékenységek nagyobb eséllyel maradnak észrevétlenül, vagy az automatizált biztonsági rendszerek jóindulatúként kezelik őket.”
Ráadásul a legújabb művelet mögött álló támadó nemcsak Magento-t, hanem más szoftvereket is megtámad, mint például a WooCommerce, a Shopify és a WordPress.
Más megközelítés, ugyanaz az eredmény
"A kampány egyik legfigyelemreméltóbb része az, ahogyan a támadók felállították az infrastruktúrájukat a webes átfutó kampány lebonyolításához" - írta a blogbejegyzésben Roman Lvovsky, az Akamai kutatója. „Mielőtt a kampány komolyan elkezdődhetne, a támadók megkeresik a sebezhető webhelyeket, hogy „hosztként” működjenek a rosszindulatú kód számára, amelyet később a web-szkiming támadás létrehozására használnak fel.
Akamai elemzése a kampányról kimutatta, hogy a támadó több trükköt is bevetett a rosszindulatú tevékenység elhomályosítására. Például ahelyett, hogy közvetlenül egy célwebhelyre fecskendezte volna be a skimmert, az Akamai azt találta, hogy a támadó egy kis JavaScript-kódrészletet fecskendezett be a weboldalaiba, amely aztán lekérte a rosszindulatú szkimmert egy gazdagép webhelyről.
A támadó úgy tervezte a JavaScript-betöltőt, hogy úgy nézzen ki, mint a Google Címkekezelő, a Facebook Pixel követőkód és más legitim, harmadik féltől származó szolgáltatások, így nehéz észrevenni. A folyamatban lévő Magecart-szerű kampány üzemeltetője Base64 kódolást is használt a skimmert kiszolgáló, feltört webhelyek URL-címeinek elhomályosítására.
"Az ellopott adatok kiszűrésének folyamata egy egyszerű HTTP-kéréssel történik, amelyet egy IMG-címke létrehozásával indítanak el a skimmer kódon belül" - írta Lvovsky. "Az ellopott adatok ezután lekérdezési paraméterekként hozzá lesznek csatolva a kéréshez, Base64 karakterláncként kódolva."
Kifinomult részletként az Akamai olyan kódot is talált a skimmer rosszindulatú programban, amely biztosította, hogy ne lopja el kétszer ugyanazt a hitelkártyát és személyes adatokat.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoAiStream. Web3 adatintelligencia. Felerősített tudás. Hozzáférés itt.
- A jövő pénzverése – Adryenn Ashley. Hozzáférés itt.
- Részvények vásárlása és eladása PRE-IPO társaságokban a PREIPO® segítségével. Hozzáférés itt.
- Forrás: https://www.darkreading.com/attacks-breaches/different-kind-magecart-card-skimming-campaign