Nästan 600 onlinebutiker har framgångsrikt attackerats av samma grupp hackare
Efter en lång undersökning avslöjade forskare från Gemini Advisory att en enda grupp cyberbrottslingar är ansvariga för de framgångsrika attackerna mot inte mindre än 570 e-handelswebbplatser baserade i 55 länder över hela världen. Besättningen kallas Keeper, och dess attacker består av att kompromissa med målet och injicera skadlig kod som utfiltrerar kreditkortsinformation och annan personlig information under kassaprocessen.
Det är en klassisk Magecart- operation och det visar sig vara ganska framgångsrik. Enligt Geminis beräkningar har Keeper-gänget mellan april 2017 och i dag komprometterat cirka 700 tusen kreditkort, som har ett mörkt marknadsvärde på webben på cirka 7 miljoner dollar. Låt oss se hur experterna lyckades dra alla dessa slutsatser.
En inloggningspanel avslöjade Keepers hela infrastruktur
Gemini's forskare upptäckte Keeper-gänget när de följde den exfiltrerings-URL som användes under en Magecart-attack. De möttes av ett inloggningsformulär som de sett tidigare. En identisk inloggningspanel hade använts i andra Magecart-attacker, och forskarna visste att detta kunde vara betydande. En ytterligare undersökning avslöjade att alla dessa inloggningspaneler pekade på samma dedikerade server, som bekräftade att alla attackerna hade genomförts av samma grupp hackare. Namnet "Keeper" kommer från det faktum att domänen "filhållare [.] Org" har varit en viktig del av gruppens infrastruktur.
Keeper - en formidabel Magecart-grupp
Efter att ha identifierat alla tidigare mål, började Geminis forskare undersöka detaljerna i Keeper's modus operandi. Gruppen riktar sig främst till små, mindre populära onlinebutiker, även om listan över offer innehåller några webbplatser som har över 500 tusen besökare varje månad. Cirka 85% av de attackerade webbplatserna har byggts med Magento, vilket inte borde vara en överraskning. Magento är en av de mest populära plattformarna för att skapa e-handelswebbplatser, och som FBI nyligen varnade, är många av butikerna som kör på den förknippade med lätt exploaterbara sårbarheter.
Efter att ha tittat noga på några av Keepers attacker såg Gemini's experter ganska många dumptekniker, vilket föreslog att hackarna vet vad de gör. Forskarna lyckades dock hitta ett misstag. En åtkomstlogg hade lämnats oskyddad, och efter att ha tittat inuti den fann experterna detaljerna om 184 tusen kreditkort komprometterade mellan juli 2018 och april 2019. Så här kom de fram till uppskattningen av Keepers totala vinster.
Genom att träffa mindre webbplatser drar Keepers hackare inte för mycket uppmärksamhet på sig själva, och samtidigt är det uppenbart att de gör en rejäl vinst på operationen. Du måste hålla med om att de har liten anledning att sluta nu.
