英国のアウトドアウェア小売業者のWebサイトからのMagecartマルウェアによるカードデータの8か月のスクレイピング

今年の初めに、18人のユーザーが比較的短期間で銀行口座で見られた不正取引についてPayPalに不満を述べ、調査の結果、支払い処理業者には共通点が1つあることに気付きました。アウトドアウェアとギアを販売するオンラインショップ。 PayPalはPáramoの支払い処理を担当するため、当然のことながら、すぐにベンダーに通知しました。調査の結果、 レジスターがMagecartと説明した内容にPáramoが当たったことが明らかになりました。

パラモはeスキマー攻撃を受ける

「Magecart」という用語は、数年前にオンラインショップでのチェックアウトプロセス中にクレジットカードデータをこすり取ることができるマルウェアをサイバー犯罪者が開発したときに登場しました。名前の「魔道士」の部分は、MagecartがMagentoオープンソースプラットフォームで構築されたWebサイトを攻撃するように設計されていたために付けられましたが、現在ではほとんどすべてのオンラインスキミング操作に関連付けられています。長年にわたり、Magecartの攻撃は、あらゆる形とサイズのターゲットに対するさまざまな異なるサイバー犯罪グループによって開始されました。 Páramoは、Magecartの被害者の長い列の中で最新のものです。この特定のケースで攻撃がどのように機能したかを知ると、ハッカーがこの種のマルウェアを非常に好む理由がわかります。

最初の感染ベクターは今のところ不明のままです。セキュリティ研究者は最近、パッチされていないプラグインを使用するMagentoベースのWebサイトにe-skimmerをインストールする傾向に気づきましたが、これと同じ手法がPáramoの場合に使用されたかどうかは明らかではありません。ハッカーはJSファイルをアップロードするための十分なアクセスを取得し、WebサイトのPHPページの1つを変更しました。その結果、チェックアウトプロセス中に、Páramoは意図したとおりに動作しているように見えました。支払いはPayPalによって処理され、注文は通常どおりに記録されます。ただし、バックグラウンドでは、悪意のあるJSファイルが顧客のクレジットカードデータをこすり取り、サイバー犯罪者に転送します。カード所有者の名前からカード裏面のCVVコードまですべてが影響を受け、18人のユーザーが銀行口座に関する異常なアクティビティに気づいたのも不思議ではありません。

マルウェアがなんと8か月間検出されずにいた

PáramoはThe Registerに、Magecartの俳優が3,743枚のカードの詳細を盗むことができたと述べました。これは、私たちが毎日目にする他の違反のサイズを考えると、それほど多くはないようです。マルウェアはしばらくの間Webサイトで検出されないままでしたが、これはそれがどれほど危険であるかを示しています。

Páramoは3月にMagecartマルウェアを特定して削除しましたが、セキュリティITスペシャリストがログを確認したところ、2019年7月に最初にインストールされたことがわかりました。四半期ごとのセキュリティスキャンでさえ、マルウェアの検出に失敗し、次の8ヶ月、誰も事を疑いませんでした。

Magecartは、オンラインストアに対する最大の脅威の1つになりつつあります。それはすでにかなりの数の主要な事件で主要な役割を果たしており、それに基づいたサイバー犯罪活動はかなり成功しています。オンラインショップの管理者の多くは、ユーザーの財務情報の処理を任されていますが、セキュリティに十分注意を払っていないため、パッチを適用していない古いテクノロジでWebサイトを実行しているため、犯罪者の仕事がさらに簡単になります。 eコマースWebサイトのセキュリティを担当している場合は、Magecartが脅威モデルの中心的な役割を果たすことを確認してください。一方、熱心なオンラインショッパーの場合は、銀行の残高を定期的に確認し、不審な取引をタイムリーに報告するよりも悪い結果になる可能性があります。