Magecart Malware schraapte kaartgegevens voor 8 maanden van de website van een Britse outdoorkledingwinkel

Eerder dit jaar hebben 18 verschillende gebruikers bij PayPal een klacht ingediend over frauduleuze transacties die in relatief korte tijd op hun bankrekening zijn waargenomen, en na een onderzoek realiseerde de betalingsverwerker zich dat ze één ding gemeen hadden: ze hadden allemaal gewinkeld bij Páramo, een online winkel met outdoorkleding en -uitrusting. PayPal is verantwoordelijk voor het verwerken van de betalingen van Páramo, dus natuurlijk heeft het de verkoper onmiddellijk op de hoogte gebracht. Uit een onderzoek bleek al snel dat Páramo getroffen was door wat The Register omschreef als Magecart.

Páramo krijgt een e-skimmer-aanval

De term "Magecart" verscheen een paar jaar geleden toen cybercriminelen een stuk malware ontwikkelden dat in staat was om creditcardgegevens te schrapen tijdens het afrekenproces bij online winkels. Het "Mage" -gedeelte van de naam is genoemd omdat Magecart is ontworpen om websites aan te vallen die zijn gebouwd met het Magento open-sourceplatform, maar het wordt nu geassocieerd met vrijwel alle online skimming-bewerkingen. In de loop der jaren zijn Magecart-aanvallen gelanceerd door een verscheidenheid aan verschillende cybercriminele bendes tegen doelen in alle soorten en maten. Páramo is de laatste in een lange rij van Magecart-slachtoffers, en als je leert hoe de aanval in dit specifieke geval werkte, zul je zien waarom de hackers zo dol zijn op dit soort malware.

De aanvankelijke infectievector blijft voorlopig onbekend. Beveiligingsonderzoekers hebben onlangs een trend opgemerkt naar het installeren van e-skimmers op Magento-gebaseerde websites die een niet-gepatchte plug-in gebruiken, maar het is niet duidelijk of dezelfde techniek werd gebruikt in het geval van Páramo. De hackers wisten wel diep genoeg toegang te krijgen om een JS-bestand te uploaden en vervolgens een van de PHP-pagina's van de website te wijzigen. Als gevolg hiervan zou Páramo tijdens het afrekenproces schijnbaar werken zoals bedoeld. De betalingen worden verwerkt door PayPal en de bestellingen worden geregistreerd zoals gewoonlijk. Op de achtergrond zou het kwaadaardige JS-bestand echter de creditcardgegevens van klanten schrapen en doorsturen naar de cybercriminelen. Alles, van de naam van de kaarthouder tot de CVV-code op de achterkant van de kaart, wordt beïnvloed en het is geen wonder dat de 18 gebruikers ongebruikelijke activiteit rond hun bankrekeningen hebben opgemerkt.

De malware bleef maar liefst 8 maanden onopgemerkt

Páramo vertelde The Register dat de Magecart-acteurs erin geslaagd waren om de details van 3.743 kaarten te stelen, wat, gezien de omvang van sommige van de andere inbreuken waarvan we elke dag getuige zijn, niet zo veel lijkt te zijn. De malware bleef echter een tijdje onopgemerkt op de website, wat laat zien hoe gevaarlijk het kan zijn.

Páramo lokaliseerde en verwijderde de Magecart-malware in maart, maar toen zijn IT-beveiligingsdeskundigen de logboeken controleerden, realiseerden ze zich dat deze al in juli 2019 voor het eerst was geïnstalleerd. Zelfs de driemaandelijkse beveiligingsscans waarvoor Páramo betaalt, konden de malware niet detecteren en over de de volgende acht maanden vermoedde niemand iets.

Magecart wordt een van de grootste bedreigingen voor online winkels. Het heeft al de hoofdrol gespeeld bij een flink aantal grote incidenten, en de cybercriminele operaties die er omheen liggen, zijn behoorlijk succesvol. Hoewel ze de financiële informatie van gebruikers moeten behandelen, besteden veel beheerders van online winkels niet genoeg aandacht aan beveiliging en draaien ze hun websites op oude, ongepatchte technologie, wat het werk van de boeven nog gemakkelijker maakt. Als u verantwoordelijk bent voor de beveiliging van een e-commerce website, zorg er dan voor dat Magecart een centrale plaats inneemt in uw bedreigingsmodel. Als u daarentegen een fervent online shopper bent, kunt u erger doen dan regelmatig uw banksaldo controleren en verdachte transacties tijdig melden.