“Magecart” кибератаки крадат данни за банкови карти и стават все по-прикрити (снимка: CC0 Public Domain)
Атаките от типа „Magecart“ намаляват като брой, но стават все по-добре прикрити. Изследователите подчертават, че има доста потенциални „слепи зони“ в сървърите, което прави трудно проследяването на подобни нападения.
Ако не сте чували почти нищо за „Magecart“, не сте единствени. Те не са толкова популярни като атаките спрямо газопреносни фирми от мащаба на Colonial Pipeline, спрямо комунални дружества или други големи бизнеси.
Какво означава “Magecart”
Атаките “Magecart” са няколко техники за „оскубване“ на данни за кредитни карти и друга лична информация от електронни магазини и въобще от сайтове, които приемат онлайн плащания. Всички лични данни, които могат да носят пари, са на прицел. Името на атаката идва от първоначалната мишена на хакерските групи, използващи въпросния подход това се платформата „Magento“, която предлага функционалност за „електронна количка“ и плащане за онлайн търговия на дребно.
През последните няколко години инцидентите в света на киберсигурността, които попаднаха в заглавията, обикновено включват атаки срещу големи комунални дружества, доставчици на критични услуги, рансъмуер, кражби на данни. Доста по-малко се говори за „Magecart“ и техните жертви.
Това обаче не означава, че проблемът е дребен, маловажен или намаляващ. Далеч не само малките и средните предприятия са изложени на риск: жертва на този вид нападение са ставали и големи марки от ранга на British Airways, Newegg и Ticketmaster.
Как действат “Magecart” атаките
„Magecart“ са кибератаки, които удобно се „настаняват“ в модулите за електронна търговия на даден уебсайт. Нападателите често използват уязвимост в системата за управление на съдържанието – вътрешната, скрита система за управление на уебсайта – или пък зависимости от т. нар. трети страни. Благодарение на това атакуващите тайно вграждат злонамерен JavaScript код.
Този код най-често бива „имплантиран“ в раздела за плащане на уебсайта. Там кодът събира данни, подобно на извличането на масло от млякото: изсмуква данните за банковата карта, нейния код за сигурност, личните данни на клиента. След това тези данни се изпращат до сървър, контролиран от атакуващия.
Къде е източникът
На 20 юни изследователят на Malwarebytes Джером Сегура каза в блог-публикация, че докато честотата на „Magecart“ атаките изглежда е намаляла, последните доклади показват, че пазарът на открадната информация за кредитни карти все още работи на високи обороти. Не само това, но има и нова кампания, показваща, че някои злонамерени операции все още действат, използвайки „доста широка инфраструктура“.
Този анонс дойде след няколко подобни, направени в началото на месеца от различни изследователи, относно предполагаеми нови „хостове“ в престъпния бизнес и за нови хакнати магазини за е-търговия.
След близо месец на проучване, анализи и сравнения на отделните наблюдения на изследователите изглежда, че установените различни събития водят към система за атаки, която най-вероятно е една и съща и е с голям мащаб. Нещо повече – изследователите са на мнение, че новите „Magecart“ дейности имат връзка с измамническа кампания от 2021 г. и дори с още по-стара кампания от май 2020 г.
Предизвикателство при проследяването на текущата траектория на „Magecart“ атаките е пропастта, която стои между наблюдението на сървърната страна и далеч по-прозрачните инструменти за сканиране на клиентската страна на сайтовете за електронни продажби. Това затруднява изследователите и прави удобна „сянка“, в която се скриват участниците в „Magecart“ заплахите.
Съветът на специалистите
Препоръката на специалистите е собствениците на сайтове с функционалност за е-продажби да използват системи за мониторинг с фокус върху „Magecart”. Най-често това са модули, които следят JavaScript зависимостите спрямо трети страни и записват всички промени, направени в кода с течение на времето. Така организациите могат да „надушат“ всякакви злонамерени „добавки“, втъкнати в техните услуги за електронна търговия.