De Magecart-groep is niet het enige hackingcollectief dat zich massaal op online e-commerce winkels richt. Bekend als Keeper, deze cybercriminaliteitsgroep heeft met succes ingebroken in backends van online winkels om hun broncode te wijzigen en kwaadaardige scripts in te voegen. Deze scripts hebben gegevens van betaalkaarten gestolen uit afrekenformulieren. Ruim 570 online winkels zijn de afgelopen drie jaar gehackt.
Keeper Magecart Hacking Group Attacks
De Keeper-hackgroep heeft web skimming uitgevoerd, e-skimming, en aanvallen vergelijkbaar met Magecart. Gemini-onderzoekers die de aanvallen hebben geanalyseerd, noemde de groep Keeper Magecart. De Keeper-naam is afgeleid van het herhaalde gebruik van een enkel genoemd domein bestandenhouder[.]org. Het domein is gebruikt om JavaScript te stelen met kwaadaardige betaalkaarten (JS) in de HTML-code van websites van slachtoffers, evenals ontvangen geoogste kaartgegevens.
Volgens Gemini, de groep werkt met een onderling verbonden netwerk van 64 aanvaller domeinen en 73 exfiltratiedomeinen. Bijna 600 online winkel in 55 landen waren tussen nu en april het doelwit 1, 2017. De aanvallen zijn aan de gang.
De Keeper-exfiltratie- en aanvallerdomeinen gebruiken identieke inlogpanelen en zijn gekoppeld aan dezelfde speciale server; deze server host zowel de kwaadaardige payload als de gefiltreerde gegevens die zijn gestolen van sites van slachtoffers, Gemini's rapport zegt.
Een andere belangrijke bevinding van het rapport is dat in ieder geval 85% van de getroffen sites werken op het Magento CMS, dat het belangrijkste doelwit was voor de Magecart-hackgroepen. De meeste gehackte online winkels bevonden zich in de Verenigde Staten, gevolgd door het VK en Nederland.
De onderzoekers ontdekten ook een onbeveiligd toegangslogboek op het Keeper-configuratiescherm dat werd bewaard 184,000 gecompromitteerde betaalkaarten met tijdstempels vanaf juli 2018 tot en met april 2019:
Extrapolatie van het aantal kaarten per negen maanden naar de algehele levensduur van Keeper, en gezien de dark web mediane prijs van $10 per gecompromitteerde kaart niet aanwezig (CNP) kaart, deze groep heeft waarschijnlijk meer dan gegenereerd $7 miljoen USD aan de verkoop van aangetaste betaalkaarten.
Waarom zijn aanvallen op online winkels van Magento zo succesvol??
Om niemand verbazen, de allereerste reden draait op een verouderde versie van het content management systeem, in dit geval Magento. Reden nummer twee is het gebruik van niet-gepatchte add-ons. Een derde optie, zoals opgemerkt door Gemini-onderzoekers, is "de inloggegevens van beheerders in gevaar brengen door middel van vervolginjecties", waardoor e-commerce-handelaars kwetsbaar worden voor een verscheidenheid aan aanvalsvectoren.
Keeper Magecart kan verschillende aanvallen uitvoeren
De moeilijkheidsgraad van de aanvallen van de Keeper Magecart-groep varieert. Gemini heeft duizenden aanvallen ontdekt, inclusief eenvoudige dynamische injectie van kwaadaardige code via een kwaadaardig domein, en gebruik te maken van Google Cloud- of GitHub-opslagservices en steganografie om schadelijke code in te sluiten in de logo's en afbeeldingen van actieve domeinen voor het stelen van betaalkaartgegevens. Het lastigste deel, echter, is dat deze groep blijft evolueren en zijn kwaadaardige technieken verbetert.
In april 2020, de Magecart groep introduceerde een nieuwe skimmer bekend als MakeFrame. Volgens RiskIQ onderzoekers, de skimmer gebruik iframes om oogstgegevens, waar de naam vandaan komt.
De MakeFrame skimmer werd voor het eerst aan het eind januari. Vanaf dat moment, verschillende versies zijn gevangen in het wild, de presentatie van verschillende niveaus van verduistering. In sommige gevallen, de onderzoekers zeggen dat ze MakeFrame gezien het gebruik van besmette sites voor alle drie van zijn functies-gastheer van de skimming code zelf, het laden van de skimmer op andere gecompromitteerde websites, en exfiltrating de gestolen gegevens.
"Er zijn verschillende elementen van de MakeFrame skimmer die ons vertrouwd zijn, maar het is deze techniek in het bijzonder dat ons herinnert aan Magecart Group 7,'Zei RiskIQ.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: