600近くのオンラインショップが同じグループのハッカーによる攻撃に成功しています
長期にわたる調査の後、Gemini Advisoryの研究者は、サイバー犯罪者の単一のグループが、世界55か国に拠点を置く570以上のeコマースWebサイトに対する攻撃の成功に責任があることを明らかにしました。乗組員はキーパーと呼ばれ、その攻撃はターゲットを侵害し、チェックアウトプロセス中にクレジットカードの詳細やその他の個人情報を盗み出す悪意のあるコードを挿入することで構成されます。
これは古典的なMagecart操作であり、かなり成功していることが証明されています。 Geminiの計算によると、2017年4月から現在までの間に、Keeperギャングは約70万枚のクレジットカードを侵害しました。専門家がこれらすべての結論をどのように引き出したかを見てみましょう。
ログインパネルから、Keeperのインフラ全体が明らかになりました
ジェミニの研究者たちは、マジカート攻撃中に使用された流出URLを追跡したところ、キーパーの一団を発見しました。彼らは以前見たログインフォームで迎えられた。同じログインパネルが他のMagecart攻撃で使用されており、研究者はこれが重要である可能性があることを知っていました。さらなる調査により、これらすべてのログインパネルが同じ専用サーバーを指していることが判明し、すべての攻撃が同じグループのハッカーによって行われたことが確認されました。 「Keeper」という名前は、ドメイン「fileskeeper [。] org」がグループのインフラストラクチャの主要な部分であったという事実に由来しています。
キーパー–手ごわいMagecartグループ
以前のすべてのターゲットを特定した後、Geminiの研究者たちはKeeperの手口の詳細を調査することに取り掛かりました。このグループは主に小規模で人気の低いオンラインショップをターゲットとしていますが、 被害者のリストには月間50万人を超える訪問者がいるウェブサイトがいくつか含まれています。攻撃されたWebサイトの約85%はMagentoで構築されていますが、これは驚くべきことではありません。 MagentoはeコマースWebサイトを作成するための最も人気のあるプラットフォームの1つであり、FBIが最近警告したように 、Magentoを実行しているショップの多くは、簡単に悪用可能な脆弱性に悩まされています。
Geminiの専門家は、Keeperの攻撃のいくつかを詳しく調べたところ、かなりの数の難読化手法を見ました。しかし、研究者たちはなんとか間違いを見つけました。アクセスログは保護されずに残されており、内部を調べたところ、専門家は2018年7月から2019年4月の間に18万4千枚のクレジットカードの詳細が侵害されていることを発見しました。
小さなウェブサイトを攻撃することで、Keeperのハッカーは自分自身にあまり注意を向けていません。同時に、彼らが操作で多額の利益を上げていることは明らかです。彼らが今やめる理由はほとんどないことに同意する必要があります。