Die Magecart-Gruppe ist nicht das einzige Hacking-Kollektiv, das sich massenhaft mit Online-E-Commerce-Geschäften befasst. Bekannt als Keeper, Diese Cybercrime-Gruppe ist erfolgreich in Online-Shop-Backends eingebrochen, um ihren Quellcode zu ändern und schädliche Skripte einzufügen. Diese Skripte haben Zahlungskartendaten gestohlen, die aus Kassenformularen stammen. Mehr als 570 Online-Shops wurden in den letzten drei Jahren gehackt.
Keeper Magecart Hacking Group Attacks
Die Keeper-Hacking-Gruppe hat Web-Skimming durchgeführt, E-Skimming, und Angriffe ähnlich wie Magecart. Zwillingsforscher, die die Angriffe analysierten, nannte die Gruppe Keeper Magecart. Der Keeper-Name ergibt sich aus der wiederholten Verwendung einer einzelnen aufgerufenen Domain Dateihüter[.]org. Die Domain wurde verwendet, um bösartiges JavaScript zu stehlen, das Zahlungskarten stiehlt (JS) in den HTML-Code der Opferwebsites, sowie geerntete Kartendaten erhalten.
Laut Gemini, Die Gruppe arbeitet mit einem miteinander verbundenen Netzwerk von 64 Angreifer-Domains und 73 Exfiltrationsdomänen. Fast 600 Online-Shop in 55 Länder wurden bis April ins Visier genommen 1, 2017. Die Angriffe dauern an.
Die Keeper-Exfiltrations- und Angreifer-Domänen verwenden identische Anmeldefelder und sind mit demselben dedizierten Server verbunden; Dieser Server hostet sowohl die böswillige Nutzlast als auch die exfiltrierten Daten, die von Websites der Opfer gestohlen wurden, Geminis Bericht sagt.
Eine weitere wichtige Erkenntnis des Berichts ist zumindest diese 85% der betroffenen Sites arbeiten auf dem Magento CMS, das das Hauptziel der Magecart-Hacking-Gruppen war. Die meisten gehackten Online-Shops befanden sich in den USA, gefolgt von Großbritannien und den Niederlanden.
Die Forscher entdeckten auch ein ungesichertes Zugriffsprotokoll auf dem Keeper-Bedienfeld 184,000 kompromittierte Zahlungskarten mit Zeitstempeln ab Juli 2018 bis April 2019:
Extrapolation der Anzahl der Karten pro neun Monate auf die Gesamtlebensdauer des Bewahrers, und angesichts des dunklen Web-Medianpreises von $10 pro kompromittierte Karte nicht vorhanden (CNP) Karte, Diese Gruppe hat wahrscheinlich mehr als generiert $7 Millionen USD aus dem Verkauf kompromittierter Zahlungskarten.
Warum sind Angriffe auf Magento-Online-Shops so erfolgreich??
Um niemanden überraschen, Der allererste Grund ist die Ausführung einer veralteten Version des Content-Management-Systems, in diesem Fall Magento. Grund Nummer zwei ist die Verwendung nicht gepatchter Add-Ons. Eine dritte Option, wie von Zwillingsforschern hervorgehoben, "Die Anmeldeinformationen von Administratoren werden durch Folgespritzen kompromittiert", wodurch E-Commerce-Händler für eine Vielzahl von Angriffsmethoden anfällig werden.
Keeper Magecart Kann verschiedene Angriffe ausführen
Der Schwierigkeitsgrad der Angriffe der Keeper Magecart-Gruppe ist unterschiedlich. Zwillinge haben Tausende von Angriffen aufgedeckt, einschließlich einfacher dynamischer Injektion von Schadcode über eine Schaddomäne, und Nutzung von Google Cloud- oder GitHub-Speicherdiensten und Steganografie, um bösartigen Code in die Logos und Bilder aktiver Domains einzubetten und Zahlungskartendaten zu stehlen. Der schwierigste Teil, jedoch, ist, dass diese Gruppe ihre bösartigen Techniken weiterentwickelt und verbessert.
Im April 2020, Die Magecart-Gruppe stellte a neuer Skimmer namens MakeFrame. Nach RiskIQ Forscher, die Skimmer benutzt Iframes zu Erntedaten, woher der Name kommt.
Der MakeFrame Skimmer wurde zuerst am Ende Januar detektiert. Seit damals, mehrere Versionen wurden in der Wildnis gefangen, präsentiert verschiedene Ebenen der Verschleierung. In einigen Fällen, Die Forscher sagen, dass sie MakeFrame mit manipulierter Websites für alle drei Funktionen-Hosting der Skimming-Code selbst gesehen haben, Laden Sie den Skimmer auf anderen manipulierten Websites, und die gestohlenen Daten exfiltrating.
"Es gibt mehrere Elemente des MakeFrame Skimmer, die uns vertraut sind, aber es ist diese Technik vor allem, die uns von Magecart Gruppe erinnert 7,”Sagte RiskIQ.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: