Magecart Malware Scraped Card-Daten für 8 Monate von der Website eines britischen Outdoor-Bekleidungshändlers
Anfang dieses Jahres beschwerten sich 18 verschiedene Benutzer bei PayPal über betrügerische Transaktionen, die in relativ kurzer Zeit auf ihren Bankkonten festgestellt wurden, und nach einer Untersuchung stellte der Zahlungsabwickler fest, dass sie eines gemeinsam hatten: Sie hatten alle bei Páramo eingekauft. ein Online-Shop, der Outdoor-Kleidung und Ausrüstung verkauft. PayPal ist für die Verarbeitung der Zahlungen von Páramo verantwortlich und hat den Verkäufer natürlich sofort benachrichtigt. Eine Untersuchung ergab bald, dass Páramo von dem getroffen worden war, was The Register als Magecart bezeichnete.
Páramo erleidet einen E-Skimmer-Angriff
Der Begriff "Magecart" tauchte vor einigen Jahren auf, als Cyberkriminelle eine Malware entwickelten, mit der Kreditkartendaten während des Bestellvorgangs in Online-Shops abgekratzt werden können. Der "Mage" -Teil des Namens wurde verwendet, weil Magecart für den Angriff auf Websites konzipiert wurde, die mit der Open-Source-Plattform Magento erstellt wurden. Mittlerweile ist es jedoch mit praktisch allen Online-Skimming-Vorgängen verbunden. Im Laufe der Jahre wurden Magecart-Angriffe von verschiedenen Cyberkriminellen gegen Ziele aller Formen und Größen gestartet. Páramo ist das Neueste in einer langen Reihe von Magecart-Opfern. Wenn Sie erfahren, wie der Angriff in diesem speziellen Fall funktioniert hat, werden Sie sehen, warum die Hacker diese Art von Malware so lieben.
Der anfängliche Infektionsvektor ist vorerst unbekannt. Sicherheitsforscher bemerkten kürzlich einen Trend zur Installation von E-Skimmern auf Magento-basierten Websites, die ein nicht gepatchtes Plugin verwenden. Es ist jedoch nicht klar, ob diese Technik im Fall von Páramo verwendet wurde. Die Hacker haben es geschafft, tief genug Zugriff zu erhalten, um eine JS-Datei hochzuladen und dann eine der PHP-Seiten der Website zu ändern. Infolgedessen würde Páramo während des Bestellvorgangs scheinbar wie beabsichtigt funktionieren. Die Zahlungen würden von PayPal abgewickelt und die Bestellungen wie gewohnt protokolliert. Im Hintergrund würde die schädliche JS-Datei jedoch die Kreditkartendaten der Kunden kratzen und an die Cyberkriminellen weiterleiten. Vom Namen des Karteninhabers bis zum CVV-Code auf der Rückseite der Karte ist alles betroffen, und es ist kein Wunder, dass die 18 Benutzer ungewöhnliche Aktivitäten auf ihren Bankkonten bemerkten.
Die Malware blieb satte 8 Monate lang unentdeckt
Páramo sagte gegenüber The Register, dass es den Magecart-Schauspielern gelungen sei, die Details von 3.743 Karten zu stehlen, was angesichts der Größe einiger anderer Verstöße, die wir jeden Tag beobachten, nicht so viel zu sein scheint. Die Malware blieb jedoch eine ganze Weile auf der Website unentdeckt, was zeigt, wie gefährlich sie sein kann.
Páramo hat die Magecart-Malware im März gefunden und entfernt. Als die Sicherheits-IT-Spezialisten die Protokolle überprüften, stellten sie fest, dass sie bereits im Juli 2019 zum ersten Mal installiert wurde In den nächsten acht Monaten ahnte niemand etwas.
Magecart entwickelt sich zu einer der größten Bedrohungen für Online-Shops. Es hat bereits bei einigen größeren Vorfällen die Hauptrolle gespielt, und die darauf basierenden Cyberkriminellen sind ziemlich erfolgreich. Obwohl sie mit dem Umgang mit den Finanzinformationen der Benutzer beauftragt sind, achten viele Administratoren von Online-Shops nicht genug auf die Sicherheit und betreiben ihre Websites mit alter, nicht gepatchter Technologie, was die Arbeit der Gauner noch einfacher macht. Wenn Sie für die Sicherheit einer E-Commerce-Website verantwortlich sind, stellen Sie sicher, dass Magecart einen zentralen Platz in Ihrem Bedrohungsmodell einnimmt. Wenn Sie andererseits ein begeisterter Online-Shopper sind, können Sie es schlimmer machen, als Ihr Bankguthaben regelmäßig zu überprüfen und verdächtige Transaktionen rechtzeitig zu melden.
