Il gruppo Magecart non è l'unico gruppo di hacking che si rivolge in massa a negozi di e-commerce online. Conosciuto come custode, questo gruppo di criminalità informatica si è diviso con successo nei backend dei negozi online per modificare il loro codice sorgente e inserire script dannosi. Questi script hanno rubato i dettagli della carta di pagamento presi dai moduli di pagamento. Più di 570 i negozi online sono stati hackerati negli ultimi tre anni.
Keeper Magecart Hacking Group Attacks
Il gruppo di hacker di Keeper sta eseguendo lo skimming del web, e-skimming, e attacchi simili a Magecart. Ricercatori Gemelli che hanno analizzato gli attacchi, chiamato il gruppo Keeper Magecart. Il nome Keeper deriva dall'uso ripetuto di un singolo dominio chiamato fileskeeper[.]org. Il dominio è stato utilizzato per iniettare JavaScript dannoso che ruba una carta di pagamento (JS) nel codice HTML dei siti Web delle vittime, oltre a ricevere i dati delle carte raccolte.
Secondo i Gemelli, il gruppo sta funzionando con una rete interconnessa di 64 domini attaccanti e 73 domini di esfiltrazione. Quasi 600 negozio online in 55 i paesi sono stati presi di mira tra oggi e aprile 1, 2017. Gli attacchi sono in corso.
I domini di esfiltrazione e attacco di Keeper utilizzano identici pannelli di accesso e sono collegati allo stesso server dedicato; questo server ospita sia il payload dannoso che i dati esfiltrati rubati dai siti delle vittime, Il rapporto dei Gemelli dice.
Un altro risultato chiave del rapporto è che almeno 85% dei siti interessati operano sul CMS Magento che è stato l'obiettivo principale per i gruppi di hacking Magecart. La maggior parte dei negozi online compromessi si trovava negli Stati Uniti, seguito da Regno Unito e Paesi Bassi.
I ricercatori hanno anche scoperto un registro di accesso non protetto sul pannello di controllo di Keeper che conteneva 184,000 carte di pagamento compromesse con data e ora che vanno da luglio 2018 ad aprile 2019:
Estrapolare il numero di carte ogni nove mesi per la durata complessiva della vita di Keeper, e dato il prezzo medio di web oscuro di $10 per carta compromessa non presente (CNP) carta, questo gruppo ha probabilmente generato al rialzo di $7 milioni di dollari dalla vendita di carte di pagamento compromesse.
Perché gli attacchi contro i negozi online Magento hanno così tanto successo?
Per sorpresa di nessuno, il primo motivo è in esecuzione su una versione obsoleta del sistema di gestione dei contenuti, in questo caso Magento. Il motivo numero due utilizza componenti aggiuntivi senza patch. Una terza opzione, come sottolineato dai ricercatori Gemelli, "sta avendo le credenziali degli amministratori compromesse attraverso iniezioni di sequel" che rende i commercianti di e-commerce vulnerabili a una varietà di vettori di attacco.
Custode Magecart capace di vari attacchi
Il livello di difficoltà degli attacchi del gruppo Keeper Magecart varia. Gemini ha scoperto migliaia di attacchi, inclusa la semplice iniezione dinamica di codice dannoso tramite un dominio dannoso, e sfruttando i servizi di archiviazione e la steganografia di Google Cloud o GitHub per incorporare codice dannoso nei loghi e nelle immagini dei domini attivi per rubare i dati delle carte di pagamento. La parte più problematica, tuttavia, è che questo gruppo continua a evolversi e migliorare le sue tecniche malevole.
Nel mese di aprile 2020, il gruppo Magecart ha introdotto a nuovo skimmer noto come MakeFrame. Secondo i ricercatori RiskIQ, gli usi skimmer iframe ai dati del raccolto, da dove viene il nome.
Lo skimmer MakeFrame è stato rilevato alla fine del mese di gennaio. Da allora, diverse versioni sono stati catturati allo stato selvatico, presentando diversi livelli di offuscamento. In alcuni casi, i ricercatori dicono di aver visto MakeFrame utilizzando siti compromessi per tutte e tre le sue funzioni di hosting il codice di scrematura per sé, caricamento del skimmer su altri siti web compromessi, e exfiltrating i dati rubati.
"Ci sono diversi elementi dello skimmer MakeFrame che ci sono familiari, ma è questa tecnica, in particolare, che ci ricorda Magecart Group 7,"RiskIQ ha detto.