Husk Magecart?
I november sidste år, sikkerhed forskere opdagede, at den berygtede malware, kendt for høst kreditkortoplysninger fra betalingsformularer, [wplinkpreview url =”https://sensorstechforum.com/sites-magecart-malware-reinfected/”]kunne re-inficere selv efter oprydning.
Nu, Magecart er aktiv igen i berygtede kampagner, hvor 277 e-handel websteder var smittet i supply-chain-angreb. Hvad betyder det?
Nye Magecart kampagner Detected
Sikkerhed forskere fra RiskIQ og Trend Micro stødte på en ny undergruppe kaldet Magecart Group 12 som inficerer målrettede websteder ved at indsætte skimming kode i en tredjepart JavaScript bibliotek. Denne teknik indlæser skadelig kode i alle websteder, der udnytter biblioteket.
Yderligere forskning i disse aktiviteter viste, at skimming koden ikke var direkte injiceret i e-handel websteder, men til en tredjepart JavaScript bibliotek ved Adverline, en fransk online-annoncering selskab, som vi straks kontaktet. Adverline har håndteret hændelsen og har straks foretaget de nødvendige oprydning operationer i forhold til CERT La Poste, sagde Trend Micro forskere i deres rapport.
RiskIQ forskere har også været tæt overvågning af Magecart gruppe. Tilsyneladende, Gruppe 12 skabte sin infrastruktur i september sidste år, domæner blev registreret, SSL-certifikater blev sat op gennem LetsEncrypt, og skimming backend blev installeret. Hackerne også bruge et lille uddrag med en base64 kodet URL for ressourcen som dekodes på runtime og sprøjtes ind i siden, RiskIQ beretning højdepunkter.
Gruppen formået at gå på kompromis målrettede hjemmesider via Adverline i slutningen af 2018.
Det skal bemærkes, at Magecart Gruppe 12 s skimming kode er lidt anderledes, med ”et interessant twist”- det beskytter sig selv mod deobfuscation og analyse ved at udføre en integritet kontrol af sig selv.
Med hensyn til den faktiske injektion script, den ankommer i to etaper, begge designet til at udføre en selvstændig integritet kontrol. Her er hvordan de to etaper foregår, som forklarede ved RiskIQ:
– Hele første etape udføres som en funktion, der er globalt defineret (dette er vigtigt)
– Den anden fase er kodet og polstret med junk-data, der er skrevet ind i en ny div objekt
– Denne anden-trins data er derefter unpadded, afkodet, og til sidst henrettet
– Den udførte kode griber en reference til sig selv (som blev globalt sæt) og er sat gennem en hashing funktion, som er JavaScript gennemførelse af Javas hashCode.
– Hvis kontrollen validerer den næste fase udføres.
Heldigvis, Adverline har allerede løste problemet ved at fjerne den skadelige kode fra det berørte JavaScript-biblioteket.