Közel 600 online üzletet sikeresen támadtak meg a hackerek ugyanaz a csoportja

Hosszú vizsgálat után a Gemini Advisory kutatói felfedezték, hogy a számítógépes bűnözők egyetlen csoportja felelős a nem kevesebb, mint 570 e-kereskedelemmel foglalkozó webhely ellen 55 országban, szerte a világon. A személyzetet Keeper-nek hívják, és támadása a cél veszélyeztetését és egy olyan rosszindulatú kód befecskendezését jelenti, amely kiszűrheti a hitelkártya-adatokat és más személyes információkat a fizetési folyamat során.

Ez egy klasszikus Magecart művelet, és meglehetősen sikeresnek bizonyult. Gemini számításai szerint 2017. április és a mai nap között a Keeper bandája mintegy 700 ezer hitelkártyát veszélyeztet, amelyek sötét internetes piaci értéke körülbelül 7 millió dollár. Lássuk, hogyan sikerült a szakértőknek levonni ezeket a következtetéseket.

A bejelentkezési panel feltárta a Keeper teljes infrastruktúráját

A Gemini kutatói felfedezték a Keeper bandát, amikor követték a Magecart támadás során használt szűrési URL-t. Egy bejelentkezési űrlap fogadta őket, amelyet már láttak. Ugyanazt a bejelentkezési panelt használták más Magecart támadások során is, és a kutatók tudták, hogy ez jelentős lehet. Egy további vizsgálat feltárta, hogy ezek a bejelentkezési panelek ugyanazon dedikált szerverre mutattak, amely megerősítette, hogy az összes támadást ugyanaz a hackerek csoport végezte. A "Keeper" név abból a tényből származik, hogy a "fileskeeper [.] Org" domain volt a csoport infrastruktúrájának jelentős része.

Keeper - félelmetes Magecart csoport

Az összes korábbi célpont azonosítása után a Gemini kutatói megvizsgálták Keeper modus operandi sajátosságait. A csoport elsősorban a kicsi, kevésbé népszerű online üzletekkel foglalkozik, bár az áldozatok listája tartalmaz néhány weboldalt, amelyek havonta több mint 500 ezer látogatóval rendelkeznek. A megtámadott webhelyek kb. 85% -át a Magento építette, ami nem igazán meglepő. A Magento az e-kereskedelemmel foglalkozó webhelyek létrehozásának egyik legnépszerűbb platformja, és amint az FBI a közelmúltban figyelmeztette, sok rajta működő üzlet könnyen kihasználható sebezhetőséggel rendelkezik.

Körültekintve néhány Keeper támadást, a Gemini szakértői nagyon sok obfuzációs technikát láttak, amelyek azt sugallták, hogy a hackerek tudják, mit csinálnak. A kutatóknak sikerült azonban hibát találniuk. Egy belépési naplót védetlenül hagytak, és miután megvizsgálták benne, a szakértők 184 ezer hitelkártya adatait találták veszélybe 2018. július és 2019. április között. Így jöttek létre a Keeper teljes profitjának becslése.

A kisebb webhelyek elérésével a Keeper hackerei nem vonzzák túl sok figyelmet magukra, és ugyanakkor nyilvánvaló, hogy izgalmas profitot keresnek a művelettel. El kell ismernie azt, hogy alig van indokuk kilépni.