Magecart geht in der neuesten Taktikänderung auf die Serverseite

Cyber Security News

Die neueste Magecart-Iteration ist mit einem neuen PHP-Web-Shell-Skimmer erfolgreich.

Die Magecart Group 12, die dafür bekannt ist, Zahlungsinformationen von Online-Käufern abzuschöpfen, wurde für den Gonzo-Angriff auf mehr als 2.000 E-Commerce-Websites im September letzten Jahres verantwortlich gemacht, und jetzt haben Forscher einen Bericht veröffentlicht, der erklärt, wie sie es gemacht haben, und einen neuen technischen Ansatz beschreibt. Die Skimmer sind immer noch “sehr aktiv”, so die Analyse.

Laut dem Threat Intelligence Team von Malwarebytes Labs verwendet die Kreditkarten-Skimmer-Gruppe PHP-Web-Shells, um Remote-Administrationszugriff auf die angegriffenen Websites zu erlangen und Kreditkartendaten zu stehlen, anstatt den zuvor bevorzugten JavaScript-Code zu verwenden, den sie einfach in die anfälligen Websites einschleusen, um die auf den Online-Kassenseiten eingegebenen Informationen zu protokollieren.

Magecart 12, die neueste Inkarnation der Web-Skimmer-Gruppe, startet weiterhin Angriffe mit Malware, die ein Favicon nachahmt, auch bekannt als “Favoritensymbol” oder “Verknüpfungssymbol”.

“Die Datei mit dem Namen Magento.png versucht, sich als ‘image/png’ zu übergeben, hat aber nicht das richtige .PNG-Format für eine gültige Bilddatei”, so der Bericht. “Die Art und Weise, wie sie in kompromittierte Websites injiziert wird, besteht darin, die legitimen Verknüpfungssymbol-Tags durch einen Pfad zur gefälschten .PNG-Datei zu ersetzen.”

Aber in diesem Fall wird das gefälschte Favicon verwendet, um eine PHP-Web-Shell zu laden. Die Web-Shell ist schwieriger zu erkennen und zu blockieren, fügt der Bericht hinzu, da sie den Skimmer-Code auf der Server- und nicht auf der Client-Seite injiziert.

“Als solches würde ein Datenbank-Blockierungsansatz hier nicht funktionieren, es sei denn, alle kompromittierten Speicher würden auf eine schwarze Liste gesetzt, was eine Zwickmühle darstellt”, so der Bericht. “Ein effektiverer, aber auch komplexerer und für Fehlalarme anfälliger Ansatz besteht darin, das DOM in Echtzeit zu inspizieren und zu erkennen, wenn bösartiger Code geladen wurde.”

DOM ist die Abkürzung für Document Object Model, das eine API für HTML- und XML-Dokumente ist.

Trotz der Änderung verfolgt die Gruppe immer noch das gleiche Ziel: Das Einschleusen von Card-Skimming-Malware, um die Zahlungskartendaten der Kunden zu stehlen.

“Digitale Skimming- oder E-Skimming-Angriffe sind eine lukrative Einnahmequelle für Cyberkriminelle, da gestohlene Kreditkartennummern im Dark Web Millionen von Dollar wert sind”, sagte Avishai Shafir von PerimeterX per E-Mail.

Magecart entwickelt sich weiter

Magecart entwickelt seine Taktiken weiter. Letzten Monat entdeckten Forscher von Sucuri, dass Magecart-Angreifer ihre gestohlenen Kreditkartendaten in .JPG-Dateien speichern, bis sie von kompromittierten E-Commerce-Seiten mit Magento 2 exfiltriert werden können.

“Die kreative Verwendung von gefälschten .JPG-Dateien ermöglicht es einem Angreifer, die gestohlenen Kreditkartendaten zu verbergen und für eine spätere Verwendung zu speichern, ohne dass der Besitzer der Website zu viel Aufmerksamkeit auf sich zieht”, schrieb Luke Leal von Sucuri im März über diesen Fund.

Und im Dezember haben Magecart-Angreifer PayPal-Transaktionen während der Weihnachtseinkaufssaison gekapert.

Experten gehen davon aus, dass Magecart seine Angriffe immer weiter ausbauen und verbessern wird, solange sich seine Cyberkriminalität rentiert.

“Die neuesten Techniken, die bei den jüngsten Magecart-Angriffen beobachtet wurden, zeigen, wie die Gruppe selbst innovativ bleibt, indem sie frühere Techniken mit neuen Codierungen und Taktiken verwendet”, sagte Sean Nikkel, Senior Cyber Threat Intel Analyst bei Digital Shadows gegenüber Threatpost. “Die jüngsten Erkenntnisse zeigen, wie schwierig es für Verteidiger sein kann, Skimming-Aktivitäten selbst zu erkennen, ohne zusätzliche Code-Reviews oder andere Arten von Blockierungen und Inspektionen einzusetzen. “

Schutz gegen Magecart

Forscher fordern Online-Händler seit langem auf, ihre Content-Management-Systeme (CMS) zu aktualisieren – bekannte Schwachstellen in Magento sind die beliebteste Methode, um E-Commerce-Seiten zu kompromittieren.

“Ungepatchte CMS sind der zuverlässige Infektionsweg für jede cyberkriminelle Bande, auch für die Magecart Group”, so Dirk Schrader von New Net Technologies per E-Mail.

Code-Reviews, Pen-Tests und regelmäßige Updates und Patches sind der Schlüssel, um Karten-Skimmer zu stoppen, fügten die Experten hinzu.

“Die einfachsten Möglichkeiten, sich gegen solche Angriffe zu wehren, sind Patches und aktuelle Updates, regelmäßige Code-Reviews, Pen-Tests von Anwendungen, Audits auf PCI-Ebene sowie Audits von Benutzern und Aktivitäten”, so Nikkel weiter. “Unternehmen, die sich für ein CMS wie Magento oder auch WordPress, Drupal und andere ähnliche Anwendungen entscheiden, sollten auch sicherstellen, dass alle Website-Plugins aktuell bleiben. Die meisten Angriffe von Magecart-Gruppen sind auf ältere, anfällige Versionen von beiden angewiesen, um zu funktionieren, aber aktuell zu bleiben und den Code zu überprüfen, kann helfen, das Risiko dieser Kampagnen zu mindern.”

Drittanbieter-Zahlungsprozessoren sind etwas anderes, das E-Commerce-Websites in Betracht ziehen sollten, so John Bambenek, Threat Intelligence Advisor bei Netenrich, gegenüber Threatpost als Reaktion auf die Magecart-Entdeckung.

“Websites, die Zahlungen verarbeiten, sind offensichtlich lukrative Ziele für Angreifer”, schrieb Bambenek in einer E-Mail. “Deshalb ist es wichtig, dass kleine Unternehmen, die nicht über das nötige Personal verfügen, um sich selbst zu schützen, den Einsatz externer Zahlungsabwickler genau prüfen sollten.”

Für Online-Händler mit verfügbarem Personal fügte Bambenek hinzu: “Diese Kompromittierung kann erkannt werden, indem man nach Kommunikation sucht, die vom Webserver initiiert wird und versucht, sich mit einem entfernten System auf Port 80 zu verbinden, und dieser Datenverkehr ist unverschlüsselt, so dass die Perimeter-Überwachung in der Lage sein sollte, die Datenexfiltration ebenfalls zu erkennen.”

Laden Sie unser exklusives KOSTENLOSES Threatpost Insider eBook, “2021: The Evolution of Ransomware”, um Ihre Cyber-Abwehrstrategien gegen diese wachsende Geißel zu verbessern. Wir gehen über den Status quo hinaus und decken auf, was als Nächstes auf Ransomware und die damit verbundenen neuen Risiken zukommt. Lesen Sie die ganze Geschichte und DOWNLOADen Sie das eBook jetzt – bei uns!

Einige Teile dieses Artikels stammen aus:
threatpost.com