Magecart-gruppen er ikke den eneste hacking kollektive målretning online e-handel butikker i massevis. Kendt som Keeper, denne cybercrime-gruppe har med succes brudt ind i online store-backends for at ændre deres kildekode og indsætte ondsindede scripts. Disse scripts stjal betalingskortoplysninger hentet fra kasseformer. Mere end 570 onlinebutikker er blevet hacket i de sidste tre år.
Keeper Magecart Hacking Group Attacks
Keeper-hacking-gruppen har udført web-skimming, e-skimming, og angreb, der ligner Magecart. Tvillingforskere, der analyserede angrebene, navngav gruppen Keeper Magecart. Keeper-navnet stammer fra den gentagne brug af et kaldet enkelt domæne fileskeeper[.]org. Domænet er blevet brugt til at injicere ondsindet JavaScript-stjæle JavaScript (JS) i offerwebsites HTML-kode, samt modtage høstede kortdata.
I følge Gemini, gruppen opererer med et sammenkoblet netværk af 64 angriberen domæner og 73 eksfiltreringsdomæner. Næsten 600 online butik i 55 landene blev målrettet mellem nu og april 1, 2017. Angrebene pågår.
Keeper-udfiltrerings- og angrebsdomæner bruger identiske loginpaneler og er knyttet til den samme dedikerede server; denne server er vært for både den ondsindede nyttelast og de udfiltrerede data stjålet fra ofrepladser, Gemini's rapport siger.
En anden vigtig konstatering af rapporten er i det mindste 85% af de berørte steder fungerer på Magento CMS, som har været det øverste mål for Magecart-hackinggrupperne. De fleste hackede onlinebutikker var placeret i USA, efterfulgt af Storbritannien og Holland.
Forskerne opdagede også en usikret adgangslog på Keeper-kontrolpanelet, der holdt 184,000 kompromitterede betalingskort med tidsstempler fra juli 2018 til april 2019:
Ekstrapolering af antallet af kort pr. Ni måneder til Keepers samlede levetid, og i betragtning af den mørke medianpris på $10 pr. kompromitteret kort Ikke til stede (CNP) kort, denne gruppe har sandsynligvis genereret opad fra $7 millioner USD fra at sælge kompromitterede betalingskort.
Hvorfor er angreb mod Magento online-butikker så succesrige??
Til ingens overraskelse, den allerførste grund kører på en forældet version af indholdsstyringssystemet, i dette tilfælde Magento. Årsag nummer to bruger uovertrufne tilføjelser. En tredje mulighed, som påpeget af Gemini-forskere, er "at få administratorernes legitimationsoplysninger kompromitteret gennem opfølgningsinjektioner", som efterlader e-handelshandlere sårbare over for en række angrebsvektorer.
Keeper Magecart i stand til forskellige angreb
Sværhedsgraden for Keeper Magecart-gruppens angreb varierer. Tvillingene har afsløret tusinder af angreb, herunder simpel dynamisk injektion af ondsindet kode via et ondsindet domæne, og udnytte Google Cloud- eller GitHub-lagringstjenester og steganografi til at integrere ondsindet kode i aktive domæneres logoer og billeder til at stjæle betalingskortdata. Den mest besværlige del, dog, er, at denne gruppe fortsætter med at udvikle og forbedre sine ondsindede teknikker.
I april 2020, Magecart-gruppen introducerede en ny skimmer kendt som MakeFrame. Ifølge RiskIQ forskere, de skimmer anvendelser iframes til høst data, hvor navnet kommer fra.
Den MakeFrame skummer blev først opdaget i slutningen af januar. Siden da, flere versioner er blevet fanget i naturen, præsentere forskellige niveauer formørkelse. I nogle tilfælde, forskerne siger, at de har set MakeFrame hjælp kompromitterede websteder for alle tre af sine funktioner-vært for skimming selve koden, indlæsning af skimmer på andre kompromitterede hjemmesider, og exfiltrating de stjålne data.
"Der er flere elementer i MakeFrame skimmer, der er velkendt for os, men det er denne teknik især der minder os om Magecart Group 7,”Sagde RiskIQ.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: