A Magecart Malware 8 hónapig lekaparott kártyaadatai egy brit kültéri ruházat-kereskedő weboldaláról

Idén elején 18 különböző felhasználó panaszt nyújtott be a PayPalhoz a bankszámlájukon viszonylag rövid idő alatt megfigyelt csalárd tranzakciók miatt, és egy vizsgálatot követően a fizetésfeldolgozó rájött, hogy egy közös dologuk van: mindannyian vásároltak Páramóban, online bolt, amely kültéri ruházatot és felszerelést árusít. A PayPal felelős a Páramo fizetéseinek feldolgozásáért, tehát természetesen azonnal értesítette az eladót. Egy nyomozás hamarosan kiderült, hogy Páramót sújtotta a The Register által Magecart-ként ismert.

Páramo e-skimmer támadást szenved

A „Magecart” kifejezés néhány évvel ezelőtt jelent meg, amikor a számítógépes bűnözők olyan rosszindulatú szoftvert fejlesztettek ki, amely képes az hitelkártya-adatok lekaparására az online üzletek pénztárain. A név "Mage" részét azért helyezték el, mert a Magecart célja a Magento nyílt forráskódú platformon épített webhelyek támadása volt, ám mostantól gyakorlatilag minden online lefutási művelethez társul. Az évek során a Magecart támadásait számos különféle számítógépes bűnöző banda indította el, bármilyen alakú és méretű célpont ellen. A Páramo a Magecart áldozatainak hosszú sorában a legújabb, és amikor megtudja, hogyan működött a támadás ebben az esetben, megtudhatja, miért szeretik a hackerek annyira ezt a fajta malware-t.

A kezdeti fertőző vektor jelenleg ismeretlen. A biztonsági kutatók a közelmúltban észrevették az e-skimmerek telepítésének tendenciáját a Magento-alapú, nem páratlan plugint használó webhelyeken, de nem világos, hogy ugyanezt a technikát alkalmazták-e Páramo esetében is. A hackereknek sikerült elég mély hozzáférést elérniük, hogy feltöltsenek egy JS fájlt, majd módosítsák a webhely egyik PHP oldalát. Ennek eredményeként a fizetési folyamat során Páramo látszólag a tervek szerint működik. A kifizetéseket a PayPal dolgozza fel, és a megrendeléseket a szokásos módon naplózza. A háttérben azonban a rosszindulatú JS-fájl lekaparja az ügyfelek hitelkártya-adatait, és továbbítja azokat a számítógépes bűnözőknek. Mindent érint a kártyatulajdonos neve és a kártya hátulján található CVV-kód, és nem csoda, hogy a 18 felhasználó szokatlan tevékenységeket észlelt bankszámlái körül.

A rosszindulatú program észrevétlenül maradt egy óriási 8 hónapig

Páramo elmondta a The Register-nek, hogy a Magecart szereplőinek sikerült ellopniuk a 3 743 kártya részleteit, amelyek - tekintettel a többi mindennapi megsértés méretére - nem tűnnek ilyen soknak. A rosszindulatú programokat azonban sokáig nem fedezték fel a webhelyen, ami megmutatja, mennyire veszélyes lehet.

Páramo márciusban megtalálta és eltávolította a Magecart rosszindulatú szoftvert, de amikor a biztonsági informatikai szakemberek ellenőrizték a naplókat, rájöttek, hogy az első telepítés már jóval 2019 júliusában történt. a következő nyolc hónapban senki sem gyanította a dolgot.

A Magecart az egyik legnagyobb veszély az online áruházak számára. Nagyon sok jelentős eseményben már játszotta a fő szerepet, és az azt körülvevő számítógépes bűncselekmények nagyon sikeresek. Noha az online boltok rendszergazdáinak feladata a felhasználók pénzügyi információinak kezelése, sok adminisztrátor nem fordít elég figyelmet a biztonságra, és weboldalaikat régi, nem fejlett technológián keresztül üzemeltetik, ami még megkönnyíti a csalók munkáját. Ha felelős az e-kereskedelmi webhely biztonságáért, akkor ellenőrizze, hogy a Magecart központi szerepet játszik-e a fenyegetési modellben. Ha viszont lelkes online vásárló, akkor még rosszabb is lehet, ha rendszeresen ellenőrizze bankszámláját, és időben jelentsen minden gyanús tranzakciót.