Magecart-Angreifer speichern gestohlene Kreditkartendaten in .JPG-Datei

Cyber Security News

Forscher von Sucuri entdeckten diese Taktik, die bösartige Aktivitäten kreativ versteckt, bis die Informationen abgerufen werden können, während einer Untersuchung einer kompromittierten Magento 2 E-Commerce-Website.

Magecart-Angreifer haben einen neuen Weg gefunden, ihre ruchlosen Online-Aktivitäten zu verbergen, indem sie Daten, die sie online von Kreditkarten abgeschöpft haben, in einer .JPG-Datei auf einer Website speichern, die sie mit bösartigem Code injiziert haben.

Forscher der Website-Sicherheitsfirma Sucuri entdeckten die schwer fassbare Taktik vor kurzem während einer Untersuchung einer kompromittierten Website, die die Open-Source-E-Commerce-Plattform Magento 2 verwendet, so Luke Leal vom Malware-Forschungsteam von Sucuri in einem Bericht, der letzte Woche online veröffentlicht wurde.

“Die kreative Verwendung des gefälschten .JPG ermöglicht es einem Angreifer, die erbeuteten Kreditkartendaten zu verbergen und für eine spätere Verwendung zu speichern, ohne dass der Besitzer der Website zu viel Aufmerksamkeit erregt”, schrieb er.

Ein Blick unter die Haube der kompromittierten Website offenbarte eine bösartige Injektion, die POST-Anfragedaten von Website-Besuchern abfing, erklärte Leal. “Die Injektion befand sich auf der Checkout-Seite und verschlüsselte die erfassten Daten, bevor sie in einer JPG-Datei gespeichert wurden”, schrieb er.

Eine POST-Anforderungsmethode bittet einen Webserver, Daten zu akzeptieren, die im Körper der Anforderungsnachricht eingeschlossen sind, normalerweise, damit sie gespeichert werden können. Sie wird häufig bei Web-Transaktionen verwendet, wenn jemand eine Datei auf eine Website hochgeladen oder ein ausgefülltes Webformular übermittelt hat.

Konkret fand Sucuri heraus, dass die Angreifer PHP-Code in eine Datei namens ./vendor/magento/module-customer/Model/Session.php injizierten und dann die Funktion “getAuthenticates” verwendeten, um bösartigen Code zu laden, so Leal. Der Code erstellte auch eine JPG-Datei, die die Angreifer nutzten, um alle Daten zu speichern, die sie von der kompromittierten Website abfingen, sagte er.

“Diese Funktion ermöglicht dem Angreifer den einfachen Zugriff und das Herunterladen der gestohlenen Informationen nach Belieben, während er sie in einer scheinbar harmlosen JPG-Datei versteckt”, schrieb Leal.

Tatsächlich versuchen Bedrohungsakteure, die darauf abzielen, Daten aus Online-Transaktionen zu stehlen, ständig neue Wege zu finden, um sich der Entdeckung zu entziehen, indem sie ihre Aktivitäten auf kreative Weise verschleiern.

Magecart-Angreifer – verschiedene Bedrohungsgruppen, die alle E-Commerce-Websites mit Card-Skimming-Skripten auf den Kassenseiten kompromittieren, um Zahlungs- und persönliche Daten der Kunden zu stehlen – sind besonders geschickt bei dieser Aktivität. Sie verstecken ihre Skimming-Techniken oft in einer authentisch erscheinenden Funktionalität und nutzen die Plattformen, die sie angreifen, um sich selbst zu kannibalisieren, um ihre Ergebnisse zu erzielen.

Eine Magecart-Kampagne, die um die Weihnachtszeit entdeckt wurde, verbarg sich beispielsweise in überzeugenden PayPal-iframes im PayPal-Kassenprozess von E-Commerce-Websites, um Benutzeranmeldeinformationen und Kreditkartendaten zu stehlen.

Die jüngste Kampagne nutzte auch das Magento-Code-Framework, um die in der .JPG-Datei versteckten Daten abzugreifen, erklärte Leal. Der bösartige PHP-Code verließ sich auf die Magento-Funktion “getPostValue”, um die Daten der Kassenseite innerhalb des “Customer_ POST-Parameters” zu erfassen, sagte er.

Er nutzte auch die Magento-Funktion “isLoggedIn”, um zu prüfen, ob ein Opfer als Benutzer auf der Website angemeldet ist, und wenn dies der Fall war, heben die Angreifer auch die E-Mail-Adresse des Benutzers aus der Transaktion, sagte er.

“Nahezu alle Informationen, die das Opfer auf der Kassenseite eingibt, werden im Parameter ‘Customer_’ gespeichert, darunter vollständige Namen und Adressen, Zahlungskartendaten, Telefonnummern und Angaben zum Benutzeragenten”, schrieb er.

Sobald Angreifer in den Besitz von Kundenzahlungsdaten gelangen, können sie diese für verschiedene kriminelle Aktivitäten nutzen, wie z. B. Kreditkartenbetrug oder gezielte E-Mail-basierte Spam- oder Phishing-Kampagnen, so Leal weiter.

Während dieser neueste Ansatz zur Erkennung von Magecart die Infektion auf den ersten Blick schwer erkennbar machen kann, würde es Website-Besitzern helfen, neue Dateien in der Umgebung zu identifizieren oder potenziell bösartige Änderungen zu erkennen, bevor sie Schaden anrichten, wenn sie Website-Überwachungsdienste oder Integritätskontrollen implementieren, empfahl Sucuri.

Schauen Sie sich unsere kommenden kostenlosen Live-Webinar-Events an – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community: 24. März: Wirtschaftliche Aspekte von 0-Day Disclosures: The Good, Bad and Ugly (Erfahren Sie mehr und registrieren Sie sich!) 21. April: Underground Markets: Eine Tour durch die Schattenwirtschaft (Erfahren Sie mehr und registrieren Sie sich!)

Einige Teile dieses Artikels stammen aus:
threatpost.com