Magecart Malware skrapte kortdata i 8 måneder fra en britisk nettsted for utendørsklær

Tidligere i år klaget 18 forskjellige brukere til PayPal om uredelige transaksjoner som ble observert på bankkontoer på relativt kort tid, og etter en undersøkelse innså betalingsprosessoren at de hadde en ting til felles: De hadde alle handlet hos Páramo, en nettbutikk som selger uteklær og utstyr. PayPal er ansvarlig for å behandle Páramos betalinger, så det ble naturlig nok varslet leverandøren umiddelbart. En etterforskning avdekket snart at Páramo var blitt rammet av det The Register beskrev som Magecart.

Páramo lider av et e-skimmer-angrep

Begrepet "Magecart" dukket opp for noen år siden da cyberkriminelle utviklet et stykke malware som var i stand til å skrape kredittkortdata under kassen i nettbutikker. Den "Mage" delen av navnet ble satt fordi Magecart ble designet for å angripe nettsteder bygget med Magento open source-plattformen, men det har nå kommet til å være assosiert med praktisk talt alle skimmingoperasjoner online. Gjennom årene har Magecart-angrep blitt lansert av en rekke forskjellige nettkriminelle gjenger mot mål i alle former og størrelser. Páramo er den siste i en lang rekke Magecart-ofre, og når du får vite hvordan angrepet fungerte i dette tilfellet, vil du se hvorfor hackerne elsker denne rasen av malware så mye.

Den første infeksjonsvektoren er fortsatt ukjent for nå. Sikkerhetsforskere har nylig lagt merke til en trend mot å installere e-skimmers på Magento-baserte nettsteder som bruker en upatchet plugin, men det er ikke klart om den samme teknikken ble brukt i tilfellet av Páramo. Hackerne klarte å få dyp nok tilgang til å laste opp en JS-fil og deretter endre en av nettstedets PHP-sider. Som et resultat, under utsjekking, ville Páramo tilsynelatende fungere som forutsatt. Betalingen vil bli behandlet av PayPal, og ordrene loggføres som vanlig. I bakgrunnen vil imidlertid den ondsinnede JS-filen skrape kundenes kredittkortdata og ville videresende den til nettkriminelle. Alt fra kortholdernavnet til CVV-koden på baksiden av kortet påvirkes, og det er ikke rart at de 18 brukerne merket uvanlig aktivitet rundt bankkontoer.

Den skadelige programvaren ble uoppdaget i hele 8 måneder

Páramo fortalte The Register at Magecart-skuespillerne klarte å stjele detaljene om 3 743 kort, som, med tanke på størrelsen på noen av de andre bruddene vi er vitne til hver dag, ikke ser ut til å være så mye. Skadelig programvare forble uoppdaget på nettstedet en god stund, men viser hvor farlig det kan være.

Páramo lokaliserte og fjernet Magecart-skadelig programvare i mars, men da dets sikkerhets-IT-spesialister sjekket loggene, innså de at det først ble installert helt tilbake i juli 2019. Selv de kvartalsvise sikkerhetsskannene som Páramo betaler for, klarte ikke å oppdage skadelig programvare, og over neste åtte måneder var det ingen som mistenkte noe.

Magecart former seg for å være en av de største truslene mot nettbutikker. Det har allerede spilt hovedrollen i ganske mange større hendelser, og nettkriminelle operasjoner som er basert rundt det er ganske vellykkede. Selv om de har til oppgave å håndtere brukernes økonomiske opplysninger, er det mange administratorer av nettbutikker som ikke er nok oppmerksom på sikkerhet og driver sine nettsteder på gammel, uovertruffen teknologi, noe som gjør skurkenes jobb enda enklere. Hvis du er ansvarlig for sikkerheten til et netthandelsnettsted, må du sørge for at Magecart tar en sentral plass i din trusselmodell. Hvis du derimot er en ivrig online-shopper, kan du gjøre det verre enn å sjekke bankbalansen din regelmessig og raskt rapportere mistenkelige transaksjoner.