Een aanvaller onder de paraplu van Magecart heeft een onbekend aantal e-commercesites in de VS, het VK en vijf andere landen besmet met malware voor het afromen van creditcardnummers en persoonlijk identificeerbare informatie (PII) van mensen die aankopen doen op deze sites. Maar in een nieuwe rimpel gebruikt de bedreigingsactor ook dezelfde sites als hosts om de card-skimming-malware naar andere doelsites te sturen.
Onderzoekers uit Akamai wie de lopende campagne zag, merkte op dat dit de campagne niet alleen anders maakt dan eerdere Magecart-activiteiten, maar dat het ook veel gevaarlijker is.
Ze schatten dat de cyberaanvallen al minstens een maand aan de gang zijn en mogelijk al tienduizenden mensen hebben getroffen. Akamai zei dat het naast de VS en het VK websites heeft opgemerkt die door de campagne zijn getroffen in Brazilië, Spanje, Estland, Australië en Peru.
Diefstal en meer van betaalkaarten: een dubbel compromis
Magecart is een los collectief van cybercriminele groepen die betrokken zijn bij aanvallen waarbij online betaalkaarten worden geskimd. In de afgelopen jaren hebben deze groepen hun gelijknamige kaartafschuimers in tienduizenden sites over de hele wereld geïnjecteerd - inclusief sites zoals TicketMaster en British Airways - en miljoenen creditcards van hen hebben gestolen, waarmee ze vervolgens op verschillende manieren geld hebben verdiend.
Akamai telde vorig jaar Magecart-aanvallen op 9,200 e-commercesites, waarvan er eind 2,468 nog 2022 geïnfecteerd waren.
De typische modus operandi voor deze groepen is geweest om heimelijk kwaadaardige code te injecteren in legitieme e-commercesites - of in componenten van derden zoals trackers en winkelwagentjes - die de sites gebruiken, door gebruik te maken van bekende kwetsbaarheden. Wanneer gebruikers creditcardgegevens en andere gevoelige gegevens invoeren op de betaalpagina van gecompromitteerde websites, onderscheppen de skimmers de gegevens stilletjes en sturen ze deze naar een externe server. Tot nu toe hebben aanvallers zich met Magecart-aanvallen voornamelijk gericht op sites die het open source Magento e-commerceplatform draaien.
De laatste campagne is iets anders omdat de aanvaller niet alleen een Magecart-kaartafschuimer in doelsites injecteert, maar er ook veel kapt om kwaadaardige code te verspreiden.
"Een van de belangrijkste voordelen van het gebruik van legitieme websitedomeinen is het inherente vertrouwen dat deze domeinen in de loop van de tijd hebben opgebouwd", aldus de analyse van Akamai. “Beveiligingsdiensten en domeinscoresystemen kennen doorgaans hogere vertrouwensniveaus toe aan domeinen met een positieve staat van dienst en een geschiedenis van legitiem gebruik. Als gevolg hiervan hebben kwaadwillende activiteiten die onder deze domeinen worden uitgevoerd een grotere kans om onopgemerkt te blijven of als goedaardig te worden behandeld door geautomatiseerde beveiligingssystemen.”
Bovendien heeft de aanvaller achter de laatste operatie ook sites aangevallen die niet alleen Magento draaien, maar ook andere software, zoals WooCommerce, Shopify en WordPress.
Een andere aanpak, hetzelfde resultaat
"Een van de meest opvallende onderdelen van de campagne is de manier waarop de aanvallers hun infrastructuur opzetten om de webskimming-campagne uit te voeren", schreef Akamai-onderzoeker Roman Lvovsky in de blogpost. "Voordat de campagne echt van start kan gaan, zoeken de aanvallers naar kwetsbare websites om als 'hosts' te fungeren voor de kwaadaardige code die later wordt gebruikt om de web skimming-aanval te creëren."
Akamai's analyse van de campagne toonde aan dat de aanvaller meerdere trucs gebruikte om de kwaadaardige activiteit te verdoezelen. In plaats van de skimmer rechtstreeks in een doelwebsite te injecteren, ontdekte Akamai bijvoorbeeld dat de aanvaller een klein JavaScript-codefragment in zijn webpagina's injecteerde dat vervolgens de schadelijke skimmer van een hostwebsite ophaalde.
De aanvaller heeft de JavaScript-lader ontworpen om eruit te zien als Google Tag Manager, Facebook Pixel-trackingcode en andere legitieme services van derden, dus het wordt moeilijk te herkennen. De exploitant van de lopende Magecart-achtige campagne heeft ook Base64-codering gebruikt om de URL's van gecompromitteerde websites die de skimmer hosten, te verdoezelen.
"Het proces van het exfiltreren van de gestolen gegevens wordt uitgevoerd via een eenvoudig HTTP-verzoek, dat wordt geïnitieerd door een IMG-tag in de skimmercode te maken", schreef Lvovsky. "De gestolen gegevens worden vervolgens aan het verzoek toegevoegd als queryparameters, gecodeerd als een Base64-string."
Als een geavanceerd detail vond Akamai ook code in de skimmer-malware die ervoor zorgde dat dezelfde creditcard en persoonlijke gegevens niet twee keer werden gestolen.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoAiStream. Web3 gegevensintelligentie. Kennis versterkt. Toegang hier.
- De toekomst slaan met Adryenn Ashley. Toegang hier.
- Koop en verkoop aandelen in PRE-IPO-bedrijven met PREIPO®. Toegang hier.
- Bron: https://www.darkreading.com/attacks-breaches/different-kind-magecart-card-skimming-campaign