Modern technology gives us many things.

Οι χάκερ παραβιάζουν νόμιμες τοποθεσίες για να φιλοξενήσουν σενάρια κλοπής πιστωτικών καρτών

Μια νέα καμπάνια κλοπής πιστωτικών καρτών Magecart παρασύρει νόμιμους ιστότοπους για να λειτουργήσουν ως διακομιστές εντολών και ελέγχου (C2) “αυτοκινήτους” για την εισαγωγή και απόκρυψη των skimmers σε στοχευμένους ιστότοπους ηλεκτρονικού εμπορίου.

Μια επίθεση Magecart είναι όταν οι χάκερ παραβιάζουν τα ηλεκτρονικά καταστήματα για να εισάγουν κακόβουλα σενάρια που κλέβουν τις πιστωτικές κάρτες και τα προσωπικά στοιχεία των πελατών κατά το ταμείο.

Σύμφωνα με τους ερευνητές του Akamai που παρακολουθούν αυτήν την εκστρατεία, έχει θέσει σε κίνδυνο οργανισμούς στις Ηνωμένες Πολιτείες, το Ηνωμένο Βασίλειο, την Αυστραλία, τη Βραζιλία, το Περού και την Εσθονία.

Η εταιρεία κυβερνοασφάλειας επισημαίνει επίσης ότι πολλά από τα θύματα δεν έχουν συνειδητοποιήσει ότι παραβιάστηκαν για περισσότερο από ένα μήνα, κάτι που αποτελεί απόδειξη της μυστικότητας αυτών των επιθέσεων.

Κατάχρηση νόμιμων τοποθεσιών

Το πρώτο βήμα των εισβολέων είναι να εντοπίσουν ευάλωτες νόμιμες τοποθεσίες και να τους παραβιάσουν για να φιλοξενήσουν τον κακόβουλο κώδικά τους, χρησιμοποιώντας τους ως διακομιστές C2 για τις επιθέσεις τους.

Διανέμοντας τους skimmers της πιστωτικής κάρτας χρησιμοποιώντας νόμιμους ιστότοπους με καλή φήμη, οι φορείς απειλών αποφεύγουν τον εντοπισμό και μπλοκάρουν και απαλλάσσονται από την ανάγκη να δημιουργήσουν τη δική τους υποδομή.

Στη συνέχεια, οι εισβολείς κινούνται για να εισάγουν ένα μικρό απόσπασμα JavaScript στους εμπορικούς ιστότοπους-στόχους που ανακτά τον κακόβουλο κώδικα από τους ιστότοπους που είχαν παραβιαστεί στο παρελθόν.

“Αν και δεν είναι σαφές πώς παραβιάζονται αυτοί οι ιστότοποι, με βάση την πρόσφατη έρευνά μας από παρόμοιες, προηγούμενες καμπάνιες, οι εισβολείς συνήθως αναζητούν ευπάθειες στην πλατφόρμα ψηφιακού εμπορίου των στοχευμένων ιστότοπων (όπως Magento, WooCommerce, WordPress, Shopify κ.λπ. .) ή σε ευάλωτες υπηρεσίες τρίτων που χρησιμοποιούνται από τον ιστότοπο», εξηγεί Akamai στην έκθεση.

Για να αυξηθεί η μυστικότητα της επίθεσης, οι φορείς απειλών έχουν θολώσει το skimmer με την κωδικοποίηση Base64, η οποία επίσης κρύβει τη διεύθυνση URL του κεντρικού υπολογιστή, και έχτισαν τη δομή του με τρόπο που μοιάζει με αυτόν του Διαχειριστή ετικετών Google ή του Facebook Pixel, που είναι δημοφιλείς υπηρεσίες τρίτων απίθανο να κινήσει υποψίες.

Θολωμένη διεύθυνση URL στο απόσπασμα κώδικα
Θολωμένη διεύθυνση URL του ιστότοπου κεντρικού υπολογιστή στο απόσπασμα κώδικα (Ακαμάι)

Στοιχεία κλοπής δεδομένων

Ο Akamai αναφέρει ότι βλέπει δύο παραλλαγές του skimmer που χρησιμοποιείται στη συγκεκριμένη καμπάνια.

Η πρώτη είναι μια πολύ συγκεχυμένη έκδοση που περιέχει μια λίστα επιλογέων CSS που στοχεύουν PII πελατών και στοιχεία πιστωτικής κάρτας. Οι επιλογείς CSS ήταν διαφορετικοί για κάθε στοχευμένο ιστότοπο, προσαρμοσμένοι για να ταιριάζουν με κάθε θύμα.

Η βαριά ασαφής πρώτη παραλλαγή skimmer
Η βαριά ασαφής πρώτη παραλλαγή skimmer (Ακαμάι)

Η δεύτερη παραλλαγή skimmer δεν ήταν τόσο καλά προστατευμένη, εκθέτοντας δείκτες στον κώδικα που βοήθησαν τον Akamai να χαρτογραφήσει την εμβέλεια της καμπάνιας και να εντοπίσει επιπλέον θύματα.

Αφού οι skimmers κλέψουν τα στοιχεία των πελατών, τα δεδομένα ορίζονται στον διακομιστή του εισβολέα μέσω ενός αιτήματος HTTP που δημιουργήθηκε ως ετικέτα IMG εντός του skimmer.

Διήθηση κλεμμένων δεδομένων
Διήθηση κλεμμένων δεδομένων με χρήση ετικέτας IMG (Ακαμάι)

Ένα επίπεδο κωδικοποίησης Base64 εφαρμόζεται στα δεδομένα για να αποκρύψει τη μετάδοση και να ελαχιστοποιήσει την πιθανότητα το θύμα να ανακαλύψει την παραβίαση.

Οι ιδιοκτήτες ιστότοπων μπορούν να αμυνθούν από μολύνσεις Magecart προστατεύοντας κατάλληλα τους λογαριασμούς διαχειριστών ιστότοπου και εφαρμόζοντας ενημερώσεις ασφαλείας για το CMS και τις προσθήκες τους.

Οι πελάτες ηλεκτρονικών καταστημάτων μπορούν να ελαχιστοποιήσουν τον κίνδυνο έκθεσης δεδομένων χρησιμοποιώντας μεθόδους ηλεκτρονικής πληρωμής, εικονικές κάρτες ή θέτοντας όρια χρέωσης στις πιστωτικές τους κάρτες.



bleepingcomputer.com

Follow TechWar.gr on Google News

Απάντηση