Magecart Hackers Compromise – Περισσότερες από 80 ηλεκτρονικές ιστοσελίδες έχουν προσβληθεί από ιό με συνέπεια να κλέψουν τις πιστωτικές κάρτες
Οι ερευνητές της CyberSecurity ανακάλυψαν πάνω από 80 ιστοσελίδες ηλεκτρονικού εμπορίου που διέθεταν σε κίνδυνο τον Magecart και έστελναν ενεργά τις πληροφορίες πιστωτικών καρτών των online αγοραστών στους ελεγχόμενους από εισβολείς διακομιστές.
Οι επιχειρήσεις που δραστηριοποιούνται στις Ηνωμένες Πολιτείες, τον Καναδά, την Ευρώπη, τη Λατινική Αμερική και την Ασία, πολλές από αυτές τις συμβιβασμένες ιστοσελίδες αποτελούν αξιόπιστα εμπορικά σήματα στη βιομηχανία μηχανοκίνητων σπορ και στην υψηλή μόδα, οι ερευνητές του Aite Group και Arxan Technologies αποκάλυψαν σήμερα σε μια έκθεση που μοιράζεται με τον The Hacker news.
Σε έναν κόσμο που αναπτύσσεται όλο και περισσότερο ψηφιακά, οι επιθέσεις του Magecart έχουν αναδειχθεί ως βασική απειλή για τον κυβερνοχώρο στους ιστότοπους ηλεκτρονικού εμπορίου.
Το Magecart είναι ένας όρος ομπρέλας που δίνεται σε διαφορετικές ομάδες εγκληματιών που ειδικεύονται στην κρυφή online credit card skimmers σε ιστότοπους ηλεκτρονικού εμπορίου με πρόθεση να κλέψουν λεπτομέρειες απο τις κάρτες πληρωμής των πελατών τους. Αυτά τα εικονικά skimmers, επίσης γνωστά ως επίθεση formjacking , βασικά είναι ένας κώδικας JavaScript που οι εισβολείς εισάγουν κρυφά σε έναν συμβιβασμένο ιστότοπο, συχνά στη σελίδα του καλαθιού αγορών, σχεδιασμένο να καταγράφει πληροφορίες πληρωμής πελατών σε πραγματικό χρόνο και να το στείλει σε έναν απομακρυσμένο εισβολέα – ελεγχόμενο διακομιστή. Το Magecart είναι πρόσφατα στις ειδήσεις για τη διεξαγωγή διάφορων λημμάτων υψηλού προφίλ κατά μεγάλων εταιρειών όπως οι British Airways , Ticketmaster, Newegg και άλλοι.
Η καμπάνια που αποκαλύφθηκε πρόσφατα δεν ανήκει σε μία ομάδα χάκερ Magecart. Αντίθετα, οι ερευνητές χρησιμοποίησαν μια μηχανή αναζήτησης πηγαίου κώδικα για να ψάξουν για ζόμπι JavaScript στο Διαδίκτυο με κακόβουλα μοτίβα που είχαν παρατηρηθεί στο παρελθόν στην εικονική πιστωτική κάρτα του Magecart.
Σύμφωνα με τους ερευνητές, η τεχνική τους επέτρεψε να αποκαλύψουν γρήγορα περισσότερες από 80 ιστοσελίδες ηλεκτρονικού εμπορίου που διακυβεύονταν από τις ομάδες Magecart, οι περισσότερες από τις οποίες βρέθηκαν να τρέχουν πάνω από ξεπερασμένες εκδόσεις του Magento CMS, οι οποίες είναι ευάλωτες σε τρωτά σημεία που δεν έχουν ταυτοποιηθεί.
“Η απουσία προστασίας εντός εφαρμογής, όπως η παρεμπόδιση του κώδικα και η ανίχνευση παραβιάσεων, καθιστά τις εφαρμογές ιστού ευάλωτες σε έναν τύπο cyberattack που ονομάζεται formjacking”, ανέφεραν οι ερευνητές.
“Πολλοί από τους συμβιβαστούς ιστότοπους εκτελούν έκδοση 1.5, 1.7 ή 1.9. Η αυθαίρετη μεταφόρτωση αρχείων, η απομακρυσμένη εκτέλεση κώδικα και τα τρωτά σημεία πλαστογράφησης αίτησης μεταξύ ιστότοπων επηρεάζουν όλα την έκδοση Magento 2.1.6 και παρακάτω. ότι αυτό είναι που οδήγησε στην παραβίαση αυτών των ιστότοπων, αυτές είναι οι ευάλωτες εκδόσεις του Magento που επιτρέπουν στους αντιπάλους να εισάγουν τον κώδικα formjacking στον ιστότοπο. “
Αν και οι ερευνητές δεν έχουν ορίσει τις συμβιβασμένες εταιρείες στην έκθεσή τους, συνεργάστηκαν με την ομοσπονδία για να ειδοποιήσουν όλους τους ενδιαφερόμενους οργανισμούς καθώς και τους εκτός του χώρου διακομιστές πριν δημοσιεύσουν την έκθεσή τους.
“Επειδή πρόκειται για συνεχές και ενεργό πρόγραμμα, αποφασίσαμε να μην ονομάσουμε τα sites των θυμάτων”, ανέφεραν οι ερευνητές στο The Hacker News.
Επιπλέον, οι ερευνητές ανέλυσαν επίσης τις δραστηριότητες δημιουργίας εσόδων της Magecart και διαπίστωσαν ότι εκτός από την πώληση των κλεμμένων στοιχείων κάρτας πληρωμής στα σκοτεινά φόρουμ στο διαδίκτυο, οι επιτιθέμενοι αγοράζουν επίσης εμπορεύματα σε νόμιμους δικτυακούς τόπους ηλεκτρονικών αγορών και τους μεταφέρουν σε προ-επιλεγμένα μουλάρια σε προσπάθεια πλυσίματος τις δόλιες συναλλαγές.
“Για να προσελκύσει mules εμπορευμάτων, ο επιτιθέμενος τοποθετεί θέσεις εργασίας που προσφέρουν στους ανθρώπους τη δυνατότητα να εργάζονται από το σπίτι και να κερδίζουν μεγάλα χρηματικά ποσά για να λαμβάνουν και να απομακρύνονται τα εμπορεύματα που αγοράζονται με τους κλεμμένους αριθμούς πιστωτικών καρτών”, λένε οι ερευνητές.
Οι mules συνεργάζονται με τους τοπικούς φορτωτές που λαμβάνουν αμοιβές κάτω από το τραπέζι για να στείλουν τα εμπορεύματα στους προορισμούς της ανατολικής Ευρώπης, όπου πωλούνται σε τοπικούς αγοραστές, κερδίζοντας τελικά τους επιτιθέμενους ως δεύτερη γραμμή εσόδων.
Οι ερευνητές προτείνουν ιστότοπους ηλεκτρονικού εμπορίου να επικαιροποιούν ή να επικαλύπτουν το λογισμικό πλατφόρμας τους με την πιο πρόσφατη έκδοση, η οποία τους προστατεύει από γνωστά εκμεταλλεύματα.
Εκτός αυτού, οι ιστότοποι ηλεκτρονικού εμπορίου θα πρέπει επίσης να εφαρμόζουν την κωδικοποίηση κώδικα και την κρυπτογραφία λευκού πλαισίου για να κάνουν τις φόρμες του ιστού δυσανάγνωστες στον αντίπαλο, καθώς και λύσεις για την ανίχνευση μη εξουσιοδοτημένων τροποποιήσεων αρχείων ιστότοπου.
Οι αγοραστές στο διαδίκτυο συνιστώνται επίσης να επανεξετάζουν τακτικά τις λεπτομέρειες της κάρτας πληρωμής και τις τραπεζικές κινήσεις τους για οποιαδήποτε άγνωστη δραστηριότητα. Ανεξάρτητα από το πόσο μικρή είναι μια μη εξουσιοδοτημένη συναλλαγή όπου παρατηρείτε, πρέπει πάντα να την αναφέρετε στα χρηματοπιστωτικά ιδρύματα σας αμέσως.