Fast 600 Online-Shops wurden von derselben Gruppe von Hackern erfolgreich angegriffen

Nach einer langwierigen Untersuchung stellten Forscher von Gemini Advisory fest , dass eine einzige Gruppe von Cyberkriminellen für die erfolgreichen Angriffe auf nicht weniger als 570 E-Commerce-Websites in 55 Ländern weltweit verantwortlich ist. Die Crew heißt Keeper und ihre Angriffe bestehen darin, das Ziel zu kompromittieren und bösartigen Code zu injizieren, der Kreditkartendaten und andere persönliche Informationen während des Bestellvorgangs herausfiltert.

Es ist eine klassische Magecart- Operation und erweist sich als ziemlich erfolgreich. Geminis Berechnungen zufolge hat die Keeper-Bande zwischen April 2017 und dem heutigen Tag rund 700.000 Kreditkarten kompromittiert, die einen dunklen Web-Marktwert von rund 7 Millionen US-Dollar haben. Mal sehen, wie es den Experten gelungen ist, all diese Schlussfolgerungen zu ziehen.

Ein Login-Panel enthüllte die gesamte Infrastruktur von Keeper

Die Forscher von Gemini entdeckten die Keeper-Bande, als sie der Exfiltrations-URL folgten, die während eines Magecart-Angriffs verwendet wurde. Sie wurden von einem Anmeldeformular begrüßt, das sie zuvor gesehen hatten. Bei anderen Magecart-Angriffen wurde ein identisches Login-Panel verwendet, und die Forscher wussten, dass dies von Bedeutung sein könnte. Eine weitere Untersuchung ergab, dass alle diese Anmeldefelder auf denselben dedizierten Server verweisen, was bestätigte, dass alle Angriffe von derselben Gruppe von Hackern ausgeführt wurden. Der Name "Keeper" kommt von der Tatsache, dass die Domain "fileskeeper [.] Org" ein wesentlicher Bestandteil der Infrastruktur der Gruppe war.

Keeper - eine beeindruckende Magecart-Gruppe

Nachdem die Forscher von Gemini alle vorherigen Ziele identifiziert hatten, begannen sie, die Besonderheiten des Modus Operandi von Keeper zu untersuchen. Die Gruppe richtet sich hauptsächlich an kleine, weniger beliebte Online-Shops, obwohl die Liste der Opfer einige Websites enthält, die monatlich über 500.000 Besucher haben. Etwa 85% der angegriffenen Websites wurden mit Magento erstellt, was eigentlich keine Überraschung sein sollte. Magento ist eine der beliebtesten Plattformen für die Erstellung von E-Commerce-Websites, und wie das FBI kürzlich gewarnt hat, sind viele der darauf laufenden Geschäfte mit leicht ausnutzbaren Sicherheitslücken behaftet.

Nachdem Geminis Experten einige Angriffe von Keeper genau unter die Lupe genommen hatten, sahen sie einige Verschleierungstechniken, die darauf hindeuteten, dass die Hacker wissen, was sie tun. Den Forschern gelang es jedoch, einen Fehler zu finden. Ein Zugriffsprotokoll war ungeschützt geblieben, und nachdem die Experten einen Blick darauf geworfen hatten, stellten sie fest, dass die Details von 184.000 Kreditkarten zwischen Juli 2018 und April 2019 kompromittiert waren. Auf diese Weise kamen sie zu der Schätzung des Gesamtgewinns von Keeper.

Durch das Aufrufen kleinerer Websites lenken die Hacker von Keeper nicht allzu viel Aufmerksamkeit auf sich selbst, und gleichzeitig ist es offensichtlich, dass sie mit der Operation einen hohen Gewinn erzielen. Sie müssen zustimmen, dass sie wenig Grund haben, jetzt aufzuhören.