Magecart Malware-skrapte kortdata i 8 måneder fra en britisk udendørstøjsforhandlers websted

Páramo Magecart Attack

Tidligere i år klagede 18 forskellige brugere til PayPal over falske transaktioner, der blev observeret på deres bankkonti i en relativt kort periode, og efter en undersøgelse indså betalingsprocessoren, at de havde en ting til fælles: De havde alle handlet på Páramo, en online butik, der sælger udetøj og udstyr. PayPal er ansvarlig for behandlingen af Páramos betalinger, så det er naturligvis nok underrettet sælgeren. En undersøgelse afslørede hurtigt, at Páramo var blevet ramt af, hvad The Register beskrev som Magecart.

Páramo lider af et e-skimmer-angreb

Udtrykket "Magecart" dukkede op for et par år siden, da cyberkriminelle udviklede et stykke malware, der var i stand til at skrabe kreditkortdata under kasseprocessen i online butikker. "Mage" -delen af navnet blev sat, fordi Magecart var designet til at angribe websteder, der er bygget med Magento open-source platform, men det er nu kommet til at være forbundet med stort set alle online skimming operationer. I årenes løb er Magecart-angreb blevet lanceret af en række forskellige cyberkriminelle bander mod mål i alle former og størrelser. Páramo er den seneste i en lang række Magecart-ofre, og når du lærer, hvordan angrebet fungerede i dette særlige tilfælde, vil du se, hvorfor hackerne elsker denne race med malware så meget.

Den indledende infektionsvektor forbliver ukendt i øjeblikket. Sikkerhedsforskere har for nylig bemærket en tendens til at installere e-skimmers på Magento-baserede websteder, der bruger et upatchet plugin, men det er ikke klart, om denne samme teknik blev brugt i tilfælde af Páramo. Hackerne formåede at få dyb nok adgang til at uploade en JS-fil og derefter ændre en af webstedets PHP-sider. Som følge heraf ville Páramo tilsyneladende fungere som bestemt. Betalingerne behandles af PayPal, og ordrene loggføres som normalt. I baggrunden vil den ondsindede JS-fil imidlertid skrabe kundernes kreditkortoplysninger og videresende dem til cyberkriminelle. Alt fra kortholderens navn til CVV-koden bag på kortet påvirkes, og det er ikke underligt, at de 18 brugere bemærkede usædvanlig aktivitet omkring deres bankkonti.

Malware forblev uopdaget i over 8 måneder

Páramo fortalte The Register, at Magecart-skuespillerne formåede at stjæle detaljerne på 3.743 kort, hvilket i betragtning af størrelsen på nogle af de andre overtrædelser, vi er vidne til hver dag, ikke synes at være så meget. Malware forblev uopdaget på webstedet i ganske lang tid, hvilket viser, hvor farligt det kan være.

Páramo lokaliserede og fjernede Magecart-malware i marts, men da dens sikkerheds-IT-specialister kontrollerede logfilerne, indså de, at det først blev installeret langt tilbage i juli 2019. Selv de kvartalsvise sikkerhedsscanninger, som Páramo betaler for, kunne ikke registrere malware, og over de næste otte måneder har ingen mistanke om noget.

Magecart formes op til at være en af de største trusler mod online-butikker. Det har allerede spillet hovedrollen i ganske mange større hændelser, og de cyberkriminelle handlinger, der er baseret på det, er ret vellykkede. Selvom de har til opgave at håndtere brugernes økonomiske oplysninger, er mange administratorer af online-butikker ikke opmærksomme på sikkerhed og kører deres websteder på gammel, uovertruffen teknologi, hvilket gør skurkenes job endnu lettere. Hvis du er ansvarlig for sikkerheden på et e-handelswebsted, skal du sørge for, at Magecart indtager en central plads i din trusselmodel. Hvis du på den anden side er en ivrig online-shopper, kan du gøre det værre end at tjekke din banksaldo regelmæssigt og rettidigt rapportere om mistænkelige transaktioner.

May 22, 2020

Efterlad et Svar