Данные о взломанной карточке вредоносного ПО Magecart за 8 месяцев с сайта британского магазина верхней одежды

Páramo Magecart Attack

Ранее в этом году 18 различных пользователей жаловались в PayPal на мошеннические транзакции, которые были обнаружены на их банковских счетах за относительно короткий период времени, и после расследования обработчик платежей понял, что у них есть одна общая черта: все они совершали покупки в Парамо, интернет-магазин по продаже верхней одежды и снаряжения. PayPal отвечает за обработку платежей Páramo, поэтому, естественно, он немедленно уведомил об этом продавца. Вскоре расследование показало, что Парамо пострадала от того, что The Register назвал Magecart.

Парамо подвергается атаке электронного скиммера

Термин «Magecart» появился несколько лет назад, когда киберпреступники разработали вредоносную программу, способную взломать данные кредитной карты во время процесса проверки в онлайн-магазинах. Название «Mage» было названо потому, что Magecart был разработан для атаки на сайты, созданные на платформе Magento с открытым исходным кодом, но теперь он стал ассоциироваться практически со всеми операциями онлайн-скимминга. На протяжении многих лет атаки Magecart были предприняты различными киберпреступными бандами против целей всех форм и размеров. Парамо является последним в длинной очереди жертв Magecart, и когда вы узнаете, как атака сработала в данном конкретном случае, вы поймете, почему хакеры так любят этот тип вредоносных программ.

Первоначальный вектор инфекции пока остается неизвестным. Исследователи безопасности недавно заметили тенденцию к установке электронных скиммеров на веб-сайты на основе Magento, которые используют непатентованный плагин, но неясно, использовался ли этот же метод в случае с Paramo. Хакерам удалось получить достаточно глубокий доступ для загрузки файла JS, а затем изменить одну из страниц PHP сайта. В результате, во время процесса проверки, Парамо, казалось бы, будет работать как задумано. Платежи будут обрабатываться PayPal, а заказы будут регистрироваться как обычно. В фоновом режиме, однако, вредоносный файл JS будет очищать данные кредитных карт клиентов и передавать их киберпреступникам. Это затрагивает все, от имени владельца карты до кода CVV на обратной стороне карты, и неудивительно, что 18 пользователей заметили необычную активность вокруг своих банковских счетов.

Вредоносное ПО оставалось незамеченным в течение целых 8 месяцев

Парамо рассказал The Register, что актерам Magecart удалось украсть детали 3743 карточек, что, учитывая размеры некоторых других нарушений, которые мы наблюдаем каждый день, не так уж и много. Однако в течение долгого времени вредоносная программа оставалась незамеченной на сайте, что показывает, насколько она может быть опасной.

В марте Páramo обнаружил и удалил вредоносное ПО Magecart, но когда его ИТ-специалисты по безопасности проверили журналы, они поняли, что он был впервые установлен еще в июле 2019 года. Даже ежеквартальные проверки безопасности, которые платит Paramo, не смогли обнаружить вредоносное ПО, и, кроме того, Следующие восемь месяцев никто ничего не подозревал.

Magecart становится одной из самых больших угроз для интернет-магазинов. Он уже сыграл основную роль в нескольких крупных инцидентах, и киберпреступные операции, основанные на нем, довольно успешны. Хотя им поручено обрабатывать финансовую информацию пользователей, многие администраторы интернет-магазинов не уделяют достаточного внимания безопасности и запускают свои веб-сайты по старой, непатентованной технологии, которая делает работу мошенников еще проще. Если вы отвечаете за безопасность сайта электронной коммерции, убедитесь, что Magecart занимает центральное место в вашей модели угроз. Если, с другой стороны, вы заядлый онлайн-покупатель, вы можете сделать хуже, чем регулярно проверять баланс своего банка и своевременно сообщать о любых подозрительных транзакциях.

May 22, 2020

Оставьте Ответ