Beveiligingsonderzoekers ontdekten onlangs een actieve en continue operatie op grote schaal, het beheren van Magecart-infiltratieaanvallen op legitieme e-commercewebsites.
Nieuwe Magecart-campagne gedetecteerd in het wild
De afgelopen weken laten een stijging zien Magecart-stijl skimmer campagnes. Deze nieuwe variant is uniek omdat het gebruik maakt van legitieme websites die aanvallers in staat stellen deze te verbergen en te gebruiken om andere websites aan te vallen. Het strategische doel van Magecart-aanvallen is om te nemen persoonlijke informatie (PII) en creditcardgegevens van online winkels’ afrekenpagina's.
Hoewel typisch Magento-platforms het doelwit zijn, Akamai-onderzoekers ontdekten een ander verhaal met deze campagne, omdat bleek Magento te exploiteren, WooCommerce, WordPress, en Shopify, wat duidt op de steeds breder wordende basis van potentiële kwetsbaarheden voor aanvallers om te misbruiken.
De dreiging van web skimming is er een waar geen enkele digitale handelsorganisatie lichtvaardig mee om moet gaan. Akamai-onderzoekers hebben de effecten van een dergelijke campagne op slachtoffers in tal van verschillende landen ontdekt, met honderdduizenden bezoekers per maand die worden beïnvloed. Duidelijk, dit kan duizenden betekenen (of zelfs tienduizenden) van slachtoffers van gestolen PII en creditcardgegevens. Wat erger is, is dat deze aanvallen lange tijd onopgemerkt kunnen blijven, waardoor slachtoffers lange tijd kwetsbaar blijven. Dit is wat er in gebeurde 2022 met nog een golf van Magecart-aanvallen, die zag 2,468 domeinen die tegen het einde van het jaar actief geïnfecteerd blijven.
Hoe vinden de Magecart-aanvallen op e-commercewebsites plaats??
Deze campagne richt zich in wezen op twee verschillende groepen slachtoffers.
De eerste groep bestaat uit gastslachtoffers – betrouwbare sites die zijn gecoöpteerd om in het geheim de kwaadaardige code te hosten die bij de aanval wordt gebruikt. Hierdoor kunnen de daders toegang krijgen tot slachtoffers onder het mom van een gevestigde site, waardoor de kwaadaardige activiteit wordt verborgen.
De tweede groep, slachtoffers van webskimming genoemd, bestaat uit kwetsbare websites die het doelwit zijn van een aanval in Magecart-stijl met behulp van kleine JavaScript-codefragmenten, het effectief ophalen van de volledige aanvalscode van het kwaadaardige hostdomein.
Beveiligingsonderzoekers verwachten dat soortgelijke campagnes voortdurend zullen plaatsvinden naarmate het voortdurende streven naar bescherming tegen webskimming tegen overtredingen voortduurt. Zo, voorbereid blijven en investeren in de nieuwste beveiligingstechnologieën om de tegenstanders te slim af te zijn, wordt ten zeerste aanbevolen, Akamai wees erop in hun verslag.