En angriper under Magecart-paraplyen har infisert et ukjent antall e-handelssider i USA, Storbritannia og fem andre land med skadelig programvare for å skumme kredittkortnumre og personlig identifiserbar informasjon (PII) som tilhører personer som foretar kjøp på disse nettstedene. Men i en ny rynke bruker trusselaktøren også de samme nettstedene som verter for å levere kortskimming-malware til andre målnettsteder.
Forskere fra Akamai som oppdaget den pågående kampanjen, merk at dette ikke bare gjør kampanjen forskjellig fra tidligere Magecart-aktivitet, men den er også mye farligere.
De vurderer at nettangrepene har pågått i minst én måned og potensielt har rammet titusenvis av mennesker allerede. Akamai sa at i tillegg til USA og Storbritannia, har de oppdaget nettsteder som er berørt av kampanjen i Brasil, Spania, Estland, Australia og Peru.
Betalingskorttyveri og mer: Et dobbelt kompromiss
Magecart er et løst kollektiv av nettkriminelle grupper som er involvert i angrep på nettbasert betalingskort. I løpet av de siste årene har disse gruppene injisert sine navnebror kortskimmere på titusenvis av nettsteder over hele verden - inkludert nettsteder som f.eks. Ticket Master og British Airways —og stjålet millioner av kredittkort fra dem, som de deretter har tjent penger på på forskjellige måter.
Akamai telte Magecart-angrep på 9,200 e-handelssider i fjor, hvorav 2,468 forble infisert ved utgangen av 2022.
Det typiske Juicy Fruit for disse gruppene har vært å i hemmelighet injisere ondsinnet kode i legitime e-handelssider – eller i tredjepartskomponenter som sporere og handlekurver – som nettstedene bruker, ved å utnytte kjente sårbarheter. Når brukere legger inn kredittkortinformasjon og andre sensitive data på betalingssiden til kompromitterte nettsteder, avskjærer skimmerne dataene og sender dem til en ekstern server. Så langt har angripere primært målrettet mot nettsteder som kjører Magento e-handelsplattform med åpen kildekode i Magecart-angrep.
Den siste kampanjen er litt annerledes ved at angriperen ikke bare injiserer en Magecart-kortskimmer på målnettsteder, men også kaprer mange av dem for å distribuere ondsinnet kode.
"En av de viktigste fordelene med å bruke legitime nettsteddomener er den iboende tilliten som disse domenene har bygget over tid," ifølge Akamai-analysen. "Sikkerhetstjenester og domenepoengsystemer tildeler vanligvis høyere tillitsnivåer til domener med en positiv merittliste og en historie med lovlig bruk. Som et resultat har ondsinnede aktiviteter utført under disse domenene en økt sjanse for å bli uoppdaget eller bli behandlet som godartet av automatiserte sikkerhetssystemer."
I tillegg har angriperen bak den siste operasjonen også angrepet nettsteder som kjører ikke bare Magento, men annen programvare, som WooCommerce, Shopify og WordPress.
En annen tilnærming, samme resultat
"En av de mest bemerkelsesverdige delene av kampanjen er måten angriperne satte opp infrastrukturen sin for å gjennomføre web-skimming-kampanjen," skrev Akamai-forsker Roman Lvovsky i blogginnlegget. "Før kampanjen kan starte for alvor, vil angriperne søke etter sårbare nettsteder for å fungere som 'verter' for den ondsinnede koden som senere brukes til å lage nettskimmingangrepet."
Akamais analyse av kampanjen viste at angriperen brukte flere triks for å tilsløre den ondsinnede aktiviteten. For eksempel, i stedet for å injisere skimmeren direkte på et målnettsted, fant Akamai at angriperen injiserte en liten JavaScript-kodebit på nettsidene sine som deretter hentet den ondsinnede skimmeren fra et vertsnettsted.
Angriperen designet JavaScript-lasteren slik at den ser ut som Google Tag Manager, Facebook Pixel-sporingskode og andre legitime tredjepartstjenester, så det blir vanskelig å få øye på. Operatøren av den pågående Magecart-lignende kampanjen har også brukt Base64-koding for å skjule nettadressene til kompromitterte nettsteder som er vert for skimmeren.
"Prosessen med å eksfiltrere de stjålne dataene utføres gjennom en enkel HTTP-forespørsel, som initieres ved å lage en IMG-tag i skimmerkoden," skrev Lvovsky. "De stjålne dataene blir deretter lagt til forespørselen som spørringsparametere, kodet som en Base64-streng."
Som en sofistikert detalj fant Akamai også kode i skimmer-malwaren som sørget for at den ikke stjal samme kredittkort og personopplysninger to ganger.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoAiStream. Web3 Data Intelligence. Kunnskap forsterket. Tilgang her.
- Minting the Future med Adryenn Ashley. Tilgang her.
- Kjøp og selg aksjer i PRE-IPO-selskaper med PREIPO®. Tilgang her.
- kilde: https://www.darkreading.com/attacks-breaches/different-kind-magecart-card-skimming-campaign