Magecart: e-handel i sikte

Magecart: e-handel i sikte

Magecart: e-handel i sikte

Medan ransomware ofta talas om, fortsätter andra mindre uppenbara former av cyberbrott att vara framgångsrika. Detta är fallet med så kallade “Magecart” (eller “Web skimming attacker”) attacker, som huvudsakligen riktar sig till e-handelssajter och försöker stjäla kreditkortsinformation från kunder på online-försäljningssajter. Flera fall av sådana attacker har avslöjats under de senaste två åren: den mest kända är verkligen den som riktades mot British Airways 2018, som drabbade mer än 40 000 kunder. I Frankrike publicerades också fall under 2019, till exempel reklamnätverket Adverline.

“Magecart är den digitala motsvarigheten till falska ATM-bedrägerier som stjäl din kreditkortsinformation”, förklarar Jérôme Segura, Threat Intelligence Director på Malwarebytes. På Malwarebytes-bloggen har han och hans team publicerat artiklar i flera år som beskriver de taktiker och tekniker som används av cyberbrottslingar som deltar i sådana attacker.

Ett recept som fungerar

Magecart-attacker följer ett liknande mönster i de flesta fall: du använder ditt bankkort för att göra en onlinebetalning på en webbplats, men det har försvunnit av angriparna i förväg, som utnyttjar denna åtkomst för att injicera ett skript som samlar in kreditkortsuppgifter vid tidpunkten för betalningen och skickar dem till internetbrottslingen. “Oavsett visning av HTTPS-hänglåset eller andra emblem som lovar att webbplatsen är säker, görs denna typ av attacker på ett helt transparent sätt för användare och för e-handelssajter. “

Det finns vanligtvis två huvudmetoder för att kompromissa med webbplatsen. ”Vi ser två scenarier: små e-handelssajter som ofta produceras av tjänsteleverantörer och som inte underhålls. Och stora webbplatser, i allmänhet uppdaterade. I den första kategorin ser vi mycket kompromisser som utnyttjar de kända bristerna i CMS. I det andra hanterar vi ofta mer sofistikerade attacker, som syftar till att äventyra autentiseringsuppgifterna för ett administratörskonto eller att injicera ett skadligt skript via hackning från en tredje part (CDN eller plug-ins) för att distribuera koden. skadlig på webbplatsen. “

Målet är alltid detsamma: att installera ett skadligt skript på offrets webbplats (ofta kallad “skimmer” på engelska) som laddas på betalningssidan. Detta syftar oftast till att imitera formuläret för insamling av kreditkortsinformation för att ersätta en skadlig version som överför stulna koder till angripare, samtidigt som transaktionen fortsätter. För kunden som för säljaren, inget onormalt: transaktionen fortsätter som planerat, men angriparna tog tillfället i akt att återställa kreditkodskoderna, som sedan kan återanvändas för online-köp eller för att skapa CB-kloner.

Djävulen är i detaljerna

De skript som används av angriparna varierar beroende på grupp: Malwarebytes skiljer således mellan “serversidan” -skript, “i allmänhet PHP-skript som installeras och körs helt på serversidan”, “Clientsida” -skript, “oftare kod JavaScript som exekveras helt i kundens webbläsare vid betalningstidpunkten, antingen genom att ladda ett skript som finns på den komprometterade webbplatsen eller genom att ringa ett skript från en tredje parts webbplats ”. Jérôme Segura nämner också användningen av “hybrid” -skummare som till exempel kommer att stjäla data från CB genom att ladda JavaScript i webbläsaren och sedan exfiltrera denna information via ett skript på serversidan. “Lyckligtvis för oss som ett antivirusföretag är de vanligaste attackerna på klientsidan, vilket gör att vi bättre kan se dem och stoppa dem”, förklarar MalwareBytes-forskaren.

Magecart-grupperna granskas noggrant av cybersäkerhetsföretag och använder inte dolda åtgärder som syftar till att undvika upptäckt: steganografi för dataexfiltrering, kodförvirring, skadligt skript laddat från en extern källa eller använder fortfarande WebSockets för dataexfiltrering genom en mindre iögonfallande kanal. De olika skummare som erbjuds till försäljning på den svarta marknaden erbjuder några av dessa funktioner, och “hemlagade” förbättringar görs ibland av cyberbrottslingar. ”Det är ganska likt det vi såg med cryptojacker-mode: alla dessa tekniker återanvänds efter behag av operatörerna av Magecart-attacker. I slutändan är det spelet katt och mus, ”sammanfattar Jérôme Segura.

Arvet efter “exploateringssatser”

Namnet Magecart kommer från de första RiskIQ-publikationerna om ämnet 2018 och hänvisar direkt till Magento CMS, det föredragna målet för angripare. ”Detta är inte det enda CMS som dessa attacker riktar sig till. Vi har sett attacker på andra CMS av Woocommerce-typ, eller nyligen ASP.net. Men Magento är fortfarande ett vanligt mål: det är ett populärt CMS, och sårbarheter är kända och upptäcks regelbundet ”, förklarar Jérôme Segura.

Den här typen av attacker har vuxit i popularitet under de senaste två åren som ett effektivt alternativ till “exploateringssatser”, som har framstått som det viktigaste webbhotet de senaste åren. ”För fem år sedan var exploateringssatser den viktigaste attackvektorn. Men i slutet av monopolet för Internet Explorer och Adobe Flash inser angriparna att det är mer komplicerat att attackera webbläsaren direkt. Populariteten för Google Chrome innebär att hitta attacker som inte kräver någon sårbarhet och som fungerar i alla webbläsare: Web Skimming-attacker fungerar så här, förklarar Jérôme Segura. Om forskaren anser att det är “ömtåligt” att ge ett antal attacker, ser han till att de ökar, och utnyttjar särskilt den höga uppgången i onlinehandel under inneslutning.

Och vem är de som deltar i dessa attacker? Tidiga rapporter tenderade att tillskriva dem till samma grupp, känd som Magecart. Sedan RiskIQ-rapporten som publicerades 2018 har vi dock vetat att flera grupper använder dessa tekniker. Men attribution har sina gränser: ”RiskIQ hade valt att numrera de olika grupperna. Vi började med att skilja åtta och sedan tolv. Senare kom GroupIB med en ny rapport och hittade runt trettio: det var då jag för en del gav upp numreringen av grupperna lite för att det inte riktigt var meningsfullt längre ” , vittnar Jérôme Segura.

Aktörerna bakom dessa attacker är många och olika: flera arresteringar har meddelats i Indonesien, men andra grupper verkar ha kopplingar till Dridex-grupper och den ryska cyberkriminella sfären. Rapporter som publicerades i juli anklagade också den nordkoreanska regeringslänkade Lazarus-gruppen för att rikta online-tillbehörskedjan Claire med en sådan attack: Magecart är en taktik som fungerar. och alla i dag verkar ta tag i det.