Magecart Malware Skrapade kortdata i 8 månader från en brittisk butik för utomhuskläder

Tidigare i år klagade 18 olika användare till PayPal för bedrägliga transaktioner som observerades på sina bankkonton under en relativt kort tid, och efter en utredning insåg betalningsprocessorn att de hade en sak gemensamt: de hade alla handlat på Páramo, en webbutik som säljer utomhuskläder och utrustning. PayPal ansvarar för att hantera Páramos betalningar, så naturligt nog meddelade den omedelbart leverantören. En undersökning avslöjade snart att Páramo hade drabbats av vad Registeret beskrev som Magecart.

Páramo lider av en e-skimmerattack

Termen "Magecart" dök upp för några år sedan när cyberbrottslingar utvecklade en bit malware som kan skrapa kreditkortsdata under kassaprocessen i onlinebutiker. "Mage" -delen av namnet sades eftersom Magecart var designad för att attackera webbplatser byggda med Magento-open source-plattformen, men det har nu kommit att associeras med praktiskt taget alla skimmingoperationer online. Under åren har Magecart-attacker inletts av en mängd olika cyberkriminella gäng mot mål i alla former och storlekar. Páramo är den senaste i en lång rad av Magecart-offer, och när du lär dig hur attacken fungerade i det här fallet kommer du att se varför hackarna älskar den här rasen av skadlig program så mycket.

Den initiala infektionsvektorn förblir okänd för tillfället. Säkerhetsforskare märkte nyligen en trend mot att installera e-skimmers på Magento-baserade webbplatser som använder ett oöverträffat plugin, men det är inte klart om samma teknik användes för Páramo. Hackarna lyckades få tillräckligt djup tillgång till att ladda upp en JS-fil och ändra sedan en av webbplatsens PHP-sidor. Som ett resultat skulle Páramo under kassaprocessen till synes fungera som avsedd. Betalningarna skulle behandlas av PayPal, och beställningarna loggas som vanligt. I bakgrunden skulle dock den skadliga JS-filen skrapa kundernas kreditkortsdata och vidarebefordra den till cyberbrottslingarna. Allt från kortinnehavarens namn till CVV-koden på kortets baksida påverkas, och det är inte konstigt att de 18 användarna märkte ovanlig aktivitet kring sina bankkonton.

Skadevaran förblev oupptäckt under 8 månader

Páramo berättade för The Register att Magecart-skådespelarna lyckades stjäla detaljerna på 3 743 kort, vilket, med tanke på storleken på några av de andra överträdelserna vi bevittnar varje dag, inte verkar vara så mycket. Den skadliga programvaran förblev oupptäckt på webbplatsen under ett tag, vilket visar hur farligt det kan vara.

Páramo lokaliserade och tog bort Magecart-skadeprogrammet i mars, men när dess säkerhets-IT-specialister kontrollerade loggarna insåg de att det först installerades långt tillbaka i juli 2019. Även de kvartalsvisa säkerhetsskanningar som Páramo betalar för misslyckades med att upptäcka skadlig programvara och över nästa åtta månader misstänkte ingen något.

Magecart formar sig för att vara ett av de största hoten mot onlinebutiker. Det har redan spelat huvudrollen i en hel del stora incidenter, och de cyberkriminella operationer som är baserade på det är ganska framgångsrika. Även om de har till uppgift att hantera användarnas ekonomiska information, är många administratörer av onlinebutiker inte noga uppmärksamma på säkerhet och driver sina webbplatser på gammal, oöverträffad teknik, vilket gör skurkarnas jobb ännu enklare. Om du är ansvarig för säkerheten på en e-handelswebbplats, se till att Magecart tar en central plats i din hotmodell. Om du å andra sidan är en ivrig shoppare på nätet, kan du göra värre än att kontrollera ditt banksaldo regelbundet och snabbt rapportera misstänkta transaktioner.