Dane karty zdrapanej złośliwego oprogramowania Magecart przez 8 miesięcy z witryny internetowej brytyjskiego sprzedawcy odzieży outdoorowej
Na początku tego roku 18 różnych użytkowników skarżyło się PayPalowi na nieuczciwe transakcje zaobserwowane na ich rachunkach bankowych w stosunkowo krótkim czasie, a po przeprowadzeniu dochodzenia podmiot przetwarzający płatności stwierdził, że łączy je jedno: wszyscy robili zakupy w Páramo, sklep internetowy sprzedający odzież i sprzęt outdoorowy. PayPal jest odpowiedzialny za przetwarzanie płatności Páramo, więc naturalnie natychmiast powiadomił o tym sprzedawcę. Dochodzenie wkrótce ujawniło, że Páramo zostało uderzone przez to, co Rejestr opisał jako Magecart.
Páramo cierpi na atak e-skimmera
Termin „Magecart” pojawił się kilka lat temu, gdy cyberprzestępcy opracowali szkodliwe oprogramowanie zdolne do skrobania danych kart kredytowych podczas procesu kasowego w sklepach internetowych. Część nazwy „Mag” została umieszczona, ponieważ Magecart został zaprojektowany do atakowania stron internetowych zbudowanych na platformie open source Magento, ale teraz został powiązany z praktycznie wszystkimi operacjami przeglądania online. Przez lata ataki Magecart były przeprowadzane przez różne gangi cyberprzestępcze przeciwko celom o różnych kształtach i rozmiarach. Páramo jest najnowszą z długiej linii ofiar Magecart, a kiedy dowiesz się, jak atak zadziałał w tym konkretnym przypadku, zobaczysz, dlaczego hakerzy tak bardzo kochają ten rodzaj złośliwego oprogramowania.
Początkowy wektor infekcji pozostaje na razie nieznany. Badacze bezpieczeństwa zauważyli ostatnio tendencję do instalowania e-skimmerów na stronach internetowych opartych na Magento, które używają niepakowanej wtyczki, ale nie jest jasne, czy ta sama technika została zastosowana w przypadku Páramo. Hakerom udało się uzyskać wystarczająco głęboki dostęp do przesłania pliku JS, a następnie zmodyfikowania jednej ze stron PHP witryny. W rezultacie podczas procesu kasowego Páramo najwyraźniej działał zgodnie z przeznaczeniem. Płatności będą przetwarzane przez PayPal, a zamówienia będą rejestrowane jak zwykle. W tle jednak złośliwy plik JS zeskrobuje dane kart kredytowych klientów i przekazuje je cyberprzestępcom. Ma to wpływ na wszystko, od nazwy posiadacza karty po kod CVV z tyłu karty, i nic dziwnego, że 18 użytkowników zauważyło niezwykłą aktywność wokół swoich kont bankowych.
Szkodliwe oprogramowanie pozostało niewykryte przez aż 8 miesięcy
Páramo powiedział The Register, że aktorom Magecart udało się ukraść szczegóły 3 743 kart, co, biorąc pod uwagę rozmiar niektórych innych naruszeń, których jesteśmy świadkami na co dzień, nie wydaje się tak duże. Jednak złośliwe oprogramowanie pozostawało niewykryte na stronie przez dłuższy czas, co pokazuje, jak niebezpieczne może być.
Páramo zlokalizował i usunął złośliwe oprogramowanie Magecart w marcu, ale kiedy specjaliści IT ds. Bezpieczeństwa sprawdzili dzienniki, zdali sobie sprawę, że został zainstalowany po raz pierwszy w lipcu 2019 r. Nawet kwartalne skanowanie zabezpieczeń Páramo płaci za niewykrycie złośliwego oprogramowania przez następne osiem miesięcy nikt niczego nie podejrzewał.
Magecart staje się jednym z największych zagrożeń dla sklepów internetowych. Odegrał już główną rolę w kilku poważnych incydentach, a oparte na nim operacje cyberprzestępcze są całkiem udane. Chociaż mają za zadanie przetwarzać informacje finansowe użytkowników, wielu administratorów sklepów internetowych nie przywiązuje wystarczającej uwagi do bezpieczeństwa i uruchamia swoje strony internetowe przy użyciu starej, niedopasowanej technologii, co jeszcze bardziej ułatwia pracę oszustom. Jeśli jesteś odpowiedzialny za bezpieczeństwo witryny e-commerce, upewnij się, że Magecart zajmuje centralne miejsce w twoim modelu zagrożeń. Z drugiej strony, jeśli jesteś zapalonym klientem internetowym, możesz zrobić coś gorszego niż regularne sprawdzanie salda bankowego i terminowe zgłaszanie podejrzanych transakcji.
