Magecartグループは、オンラインeコマースストアを一斉に標的とするハッキング集団だけではありません。. キーパーとして知られています, このサイバー犯罪グループは、オンラインストアのバックエンドに侵入して、ソースコードを変更し、悪意のあるスクリプトを挿入することに成功しました。. これらのスクリプトは、チェックアウトフォームから取得した支払いカードの詳細を盗みました. より多い 570 過去3年間にオンラインストアがハッキングされた.
KeeperMagecartハッキンググループ攻撃
KeeperハッキンググループはWebスキミングを実行しています, eスキミング, Magecartと同様の攻撃. 攻撃を分析したジェミニ研究者, グループにKeeperMagecartという名前を付けました. キーパー名は、と呼ばれる単一のドメインの繰り返し使用に由来します ファイルキーパー[.]org. ドメインは、悪意のある支払いカードを盗むJavaScriptを挿入するために使用されています (JS) 被害者のWebサイトのHTMLコードに, 収集されたカードデータを受信するだけでなく.
ジェミニによると, グループは、の相互接続されたネットワークで動作しています 64 攻撃者のドメインと 73 浸透ドメイン. ほぼ 600 のオンラインストア 55 現在から4月の間に国が標的にされた 1, 2017. 攻撃は進行中です.
キーパーエクスフィルトレーションドメインと攻撃者ドメインは同一のログインパネルを使用し、同じ専用サーバーにリンクされています; このサーバーは、被害者のサイトから盗まれた悪意のあるペイロードと盗み出されたデータの両方をホストします, ジェミニのレポートによると.
レポートのもう1つの重要な発見は、少なくとも 85% 影響を受けるサイトの一部は、MagecartハッキンググループのトップターゲットであるMagentoCMSで動作しています. ハッキングされたオンラインストアのほとんどは米国にありました, 続いて英国とオランダ.
研究者はまた、Keeperコントロールパネルでセキュリティで保護されていないアクセスログを発見しました。 184,000 7月からのタイムスタンプを持つ侵害された支払いカード 2018 4月まで 2019:
キーパーの全体的な寿命に9か月あたりのカードの数を外挿する, ダークウェブの中央値を考えると $10 侵害されたカードごとに存在しない (CNP) カード, このグループはおそらく上向きに生成されています $7 侵害された支払いカードの販売による100万米ドル.
Magentoオンラインストアに対する攻撃が成功するのはなぜですか?
誰も驚かない, 一番最初の理由は、古いバージョンのコンテンツ管理システムで実行されていることです, この場合、Magento. 理由2は、パッチが適用されていないアドオンを利用している. 3番目のオプション, ジェミニの研究者が指摘したように, は「続編の注入によって管理者の資格情報が危険にさらされている」ため、eコマースマーチャントはさまざまな攻撃ベクトルに対して脆弱なままです。.
さまざまな攻撃に対応できるKeeperMagecart
KeeperMagecartグループの攻撃の難易度はさまざまです. ジェミニは何千もの攻撃を発見しました, 悪意のあるドメインを介した悪意のあるコードの単純な動的インジェクションを含む, Google CloudまたはGitHubストレージサービスとステガノグラフィを活用して、ペイメントカードデータを盗むためにアクティブなドメインのロゴと画像に悪意のあるコードを埋め込みます. 最も厄介な部分, でも, このグループは進化を続け、悪意のある技術を改善しているということです.
4月中 2020, Magecartグループは MakeFrameとして知られる新しいスキマー. RiskIQの研究者によると, スキマーはiframeを使用してデータを収集します, 名前の由来.
MakeFrameスキマーは1月末に最初に検出されました. それ以来, いくつかのバージョンが野生で捕らえられています, さまざまなレベルの難読化を提示する. ある場合には, 研究者たちは、MakeFrameがその3つの機能すべてに侵害されたサイトを使用しているのを見たと言います—スキミングコード自体をホストします, 他の侵害されたWebサイトにスキマーをロードする, 盗まれたデータを盗み出す.
「「私たちに馴染みのあるMakeFrameスキマーのいくつかの要素があります, しかし、特にこのテクニックがMagecartGroupを思い出させます。 7,」RiskIQは言った.