Magecart 산하의 공격자가 미국, 영국 및 기타 XNUMX개국의 알 수 없는 수의 전자 상거래 사이트를 이러한 사이트에서 구매하는 사람들의 신용 카드 번호 및 개인 식별 정보(PII)를 스키밍하는 멀웨어로 감염시켰습니다. 그러나 위협 행위자는 다른 표적 사이트에 카드 스키밍 악성코드를 전달하기 위해 동일한 사이트를 호스트로 사용하고 있습니다.
Akamai의 연구원 진행 중인 캠페인을 발견한 사람은 이것이 캠페인을 이전 Magecart 활동과 다르게 만들 뿐만 아니라 훨씬 더 위험하다고 지적합니다.
그들은 사이버 공격이 적어도 한 달 동안 계속되었고 이미 수만 명의 사람들에게 잠재적으로 영향을 미쳤다고 평가합니다. Akamai는 미국과 영국 외에도 브라질, 스페인, 에스토니아, 호주, 페루에서 캠페인의 영향을 받은 웹사이트를 발견했다고 밝혔습니다.
결제 카드 도난 등: 이중 타협
Magecart는 온라인 결제 카드 스키밍 공격과 관련된 사이버 범죄 그룹의 느슨한 집합체입니다. 지난 몇 년 동안 이 그룹은 그들의 이름을 딴 카드 스키머를 다음과 같은 사이트를 포함하여 전 세계 수만 개의 사이트에 주입했습니다. TicketMaster 과 영국 항공 — 수백만 장의 신용 카드를 훔쳐 다양한 방식으로 수익을 창출했습니다.
Akamai는 작년에 9,200개의 전자 상거래 사이트에 대한 Magecart 공격을 집계했으며 이 중 2,468개는 2022년 말 현재 감염된 상태로 남아 있습니다.
전형적인 modus operandi 이러한 그룹은 알려진 취약점을 악용하여 합법적인 전자 상거래 사이트 또는 사이트에서 사용하는 추적기 및 쇼핑 카트와 같은 타사 구성 요소에 은밀하게 악성 코드를 삽입했습니다. 사용자가 손상된 웹사이트의 체크아웃 페이지에 신용 카드 정보 및 기타 민감한 데이터를 입력하면 스키머는 조용히 데이터를 가로채 원격 서버로 보냅니다. 지금까지 공격자들은 Magecart 공격에서 오픈 소스 Magento 전자 상거래 플랫폼을 실행하는 사이트를 주로 표적으로 삼았습니다.
이번 캠페인은 공격자가 타겟 사이트에 Magecart 카드 스키머를 주입하는 것뿐만 아니라 다수를 하이재킹하여 악성 코드를 유포한다는 점에서 약간 다릅니다.
Akamai 분석에 따르면 "합법적인 웹 사이트 도메인을 활용하는 주요 이점 중 하나는 이러한 도메인이 시간이 지남에 따라 구축한 고유한 신뢰입니다." “보안 서비스 및 도메인 점수 시스템은 일반적으로 긍정적인 추적 기록과 합법적인 사용 기록이 있는 도메인에 더 높은 신뢰 수준을 할당합니다. 결과적으로 이러한 도메인에서 수행되는 악의적인 활동은 자동화된 보안 시스템에 의해 탐지되지 않거나 무해한 것으로 취급될 가능성이 높아집니다.”
또한 최신 작업 배후의 공격자는 Magento뿐만 아니라 WooCommerce, Shopify 및 WordPress와 같은 다른 소프트웨어를 실행하는 사이트도 공격하고 있습니다.
다른 접근법, 같은 결과
Akamai 연구원인 Roman Lvovsky는 블로그 게시물에서 “캠페인에서 가장 주목할만한 부분 중 하나는 공격자가 웹 스키밍 캠페인을 수행하기 위해 인프라를 설정한 방식입니다. "캠페인이 본격적으로 시작되기 전에 공격자는 나중에 웹 스키밍 공격을 만드는 데 사용되는 악성 코드의 '호스트' 역할을 할 취약한 웹사이트를 찾을 것입니다."
캠페인에 대한 Akamai의 분석에 따르면 공격자는 악의적인 활동을 숨기기 위해 여러 트릭을 사용하는 것으로 나타났습니다. 예를 들어 Akamai는 표적 웹사이트에 스키머를 직접 주입하는 대신 공격자가 웹페이지에 작은 JavaScript 코드 스니펫을 주입한 다음 호스트 웹사이트에서 악성 스키머를 가져오는 것을 발견했습니다.
공격자는 Google 태그 관리자, Facebook 픽셀 추적 코드 및 기타 합법적인 타사 서비스처럼 보이도록 JavaScript 로더를 설계했기 때문에 발견하기 어렵습니다. 진행 중인 Magecart와 같은 캠페인의 운영자는 Base64 인코딩을 사용하여 스키머를 호스팅하는 손상된 웹사이트의 URL을 난독화했습니다.
Lvovsky는 “훔친 데이터를 유출하는 프로세스는 스키머 코드 내에서 IMG 태그를 생성하여 시작되는 간단한 HTTP 요청을 통해 실행됩니다.”라고 썼습니다. "훔친 데이터는 Base64 문자열로 인코딩된 쿼리 매개변수로 요청에 추가됩니다."
정교한 세부 사항으로 Akamai는 스키머 맬웨어에서 동일한 신용 카드와 개인 정보를 두 번 훔치지 않도록 하는 코드도 발견했습니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoAiStream. Web3 데이터 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 미래 만들기 w Adryenn Ashley. 여기에서 액세스하십시오.
- PREIPO®로 PRE-IPO 회사의 주식을 사고 팔 수 있습니다. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/attacks-breaches/different-kind-magecart-card-skimming-campaign