Зловмисник під егідою Magecart заразив невідому кількість сайтів електронної комерції в США, Великобританії та п’яти інших країнах зловмисним програмним забезпеченням для сканування номерів кредитних карток і ідентифікаційної інформації (PII), що належить людям, які здійснюють покупки на цих сайтах. Але в новій складності зловмисник також використовує ті самі сайти як хости для доставки зловмисного програмного забезпечення для сканування карток на інші цільові сайти.
Дослідники з Акамай Хто помітив поточну кампанію, зауважив, що це не тільки робить кампанію відмінною від попередньої діяльності Magecart, але й набагато небезпечнішою.
За їх оцінками, кібератаки тривають щонайменше місяць і потенційно вже вплинули на десятки тисяч людей. Akamai повідомила, що окрім США та Великобританії, вона помітила сайти, які постраждали від кампанії, у Бразилії, Іспанії, Естонії, Австралії та Перу.
Крадіжка платіжної картки та інше: подвійний компроміс
Magecart — це вільна група груп кіберзлочинців, які займаються атаками на онлайн-платіжні картки. Протягом останніх кількох років ці групи впровадили свої однойменні карткові скімери в десятки тисяч сайтів по всьому світу, включаючи такі сайти, як TicketMaster та British Airways —і вкрали у них мільйони кредитних карток, які потім монетизували різними способами.
Минулого року Akamai підрахувала атаки Magecart на 9,200 сайтів електронної комерції, з яких станом на кінець 2,468 року 2022 залишалися зараженими.
Типовий образ дії для цих груп полягала в таємному впровадженні зловмисного коду в законні сайти електронної комерції — або в сторонні компоненти, такі як трекери та кошики для покупок — які використовують сайти, використовуючи відомі вразливості. Коли користувачі вводять дані кредитної картки та інші конфіденційні дані на сторінці оформлення скомпрометованих веб-сайтів, скімери мовчки перехоплюють дані та надсилають їх на віддалений сервер. Поки що зловмисники в основному націлювалися на сайти, на яких працює платформа електронної комерції Magento з відкритим кодом, під час атак Magecart.
Остання кампанія дещо відрізняється тим, що зловмисник не просто вставляє скімер картки Magecart на цільові сайти, але також захоплює багато з них, щоб поширювати шкідливий код.
Згідно з аналізом Akamai, «одна з головних переваг використання законних доменів веб-сайтів — це довіра, яку ці домени створили з часом». «Служби безпеки та системи оцінки доменів зазвичай призначають вищі рівні довіри доменам із позитивною репутацією та історією законного використання. У результаті зловмисна діяльність, яка здійснюється в цих доменах, має підвищений шанс залишитися непоміченою або розглядатися автоматизованими системами безпеки як доброякісна».
Крім того, зловмисник, який стоїть за останньою операцією, також атакував сайти, на яких працює не лише Magento, а й інше програмне забезпечення, наприклад WooCommerce, Shopify і WordPress.
Інший підхід, той самий результат
«Однією з найпомітніших частин кампанії є те, як зловмисники налаштували свою інфраструктуру для проведення кампанії веб-перегляду», — написав дослідник Akamai Роман Львівський у повідомленні в блозі. «Перед тим, як кампанія почнеться всерйоз, зловмисники будуть шукати вразливі веб-сайти, щоб виступати в якості «хостів» для зловмисного коду, який згодом буде використано для створення веб-атаки».
Аналіз кампанії, проведений Akamai, показав, що зловмисник використовував кілька прийомів, щоб приховати зловмисну діяльність. Наприклад, замість того, щоб вводити скімер безпосередньо в цільовий веб-сайт, Akamai виявив, що зловмисник вставляє невеликий фрагмент коду JavaScript на його веб-сторінки, який потім отримує шкідливий скімер із веб-сайту хосту.
Зловмисник розробив завантажувач JavaScript так, щоб він виглядав як Google Tag Manager, код відстеження Facebook Pixel та інші законні сторонні служби, тому його важко помітити. Оператор поточної кампанії, подібної до Magecart, також використовував кодування Base64 для обфускації URL-адрес скомпрометованих веб-сайтів, на яких розміщено скіммер.
«Процес вилучення вкрадених даних виконується через простий HTTP-запит, який ініціюється створенням тегу IMG у коді скіммера», — написав Львівський. «Викрадені дані потім додаються до запиту як параметри запиту, закодовані як рядок Base64».
Як складну деталь, Akamai також знайшов код у шкідливому програмному забезпеченні skimmer, який гарантував, що він не вкраде ту саму кредитну картку та особисту інформацію двічі.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoAiStream. Web3 Data Intelligence. Розширення знань. Доступ тут.
- Карбування майбутнього з Адріенн Ешлі. Доступ тут.
- Купуйте та продавайте акції компаній, які вийшли на IPO, за допомогою PREIPO®. Доступ тут.
- джерело: https://www.darkreading.com/attacks-breaches/different-kind-magecart-card-skimming-campaign