Magecart-Hacker verstecken gestohlene Kreditkartendaten in Bildern, um die Exfiltration zu umgehen

  • Cybercrime-Akteure, die zur Magecart-Gruppe gehören, haben eine neue Technik zur Verschleierung des Malware-Codes innerhalb von Kommentarblöcken und zur Verschlüsselung gestohlener Kreditkartendaten in Bildern und anderen Dateien, die auf dem Server gehostet werden, erlernt. Dies zeigt einmal mehr, wie die Angreifer ihre Infektionsketten kontinuierlich verbessern, um der Entdeckung zu entgehen.

    “Eine Taktik, die einige Magecart-Akteure anwenden, ist das Auslagern der gestohlenen Kreditkartendaten in Bilddateien auf dem Server [to] um keinen Verdacht zu erregen”, so Sucuri Security Analyst Ben Martin in einer Mitteilung. “Diese können dann zu einem späteren Zeitpunkt mit einer einfachen GET-Anfrage heruntergeladen werden.”

    [Blocked Image: https://thehackernews.com/images/-u_TFlX83-es/YMt1oTeur5I/AAAAAAAA4Q0/KR6i59vv_vIwmmg08UXTwO08_FGRyPjmQCLcBGAsYHQ/s300-e100/free-ad-9-300.png]

    MageCart ist der Überbegriff für mehrere Gruppen von Cyberkriminellen, die es auf E-Commerce-Websites abgesehen haben, mit dem Ziel, Kreditkartennummern durch Einschleusen bösartiger JavaScript-Skimmer zu erbeuten und auf dem Schwarzmarkt zu verkaufen.

    Sucuri ordnete den Angriff der Magecart Group 7 zu, basierend auf Überschneidungen in den Taktiken, Techniken und Verfahren (TTPs), die der Bedrohungsakteur anwendet.

    [Blocked Image: https://thehackernews.com/images/-k_2b7TRsrTk/YOhV30KyJPI/AAAAAAAADJM/K_bbvEP4LqcS4ApmGi9Y-6X5ZdiUtxFNACLcBGAsYHQ/s728-e1000/code.jpg]

    Bei einer Infektion einer Magento-E-Commerce-Website, die von der zu GoDaddy gehörenden Sicherheitsfirma untersucht wurde, stellte sich heraus, dass der Skimmer in Form eines Base64-kodierten komprimierten Strings in eine der PHP-Dateien eingefügt wurde, die am Checkout-Prozess beteiligt sind.

    [Blocked Image: https://thehackernews.com/images/-c9dgmAKoN_s/YLy9MwSA5HI/AAAAAAAA4BI/hJfAZal3vaMbpnSbjpBWkZ-bT_62BsztwCLcBGAsYHQ/s728-e100/auth_728.jpg]

    Um das Vorhandensein von bösartigem Code in der PHP-Datei weiter zu verschleiern, sollen die Angreifer eine Technik namens Verkettung verwendet haben, bei der der Code mit zusätzlichen Kommentarstücken kombiniert wurde, die “funktional nichts bewirkt, aber eine Verschleierungsebene hinzufügt, die es etwas schwieriger macht, ihn zu erkennen.”

    Letztendlich ist das Ziel der Angriffe, die Zahlungskartendaten der Kunden in Echtzeit auf der kompromittierten Website zu erfassen, die dann in einer gefälschten Stylesheet-Datei (.CSS) auf dem Server gespeichert werden und anschließend auf der Seite des Bedrohungsakteurs durch eine GET-Anfrage heruntergeladen werden.

    “MageCart ist eine ständig wachsende Bedrohung für E-Commerce-Websites”, so Martin. “Aus der Perspektive der Angreifer: Die Belohnungen sind zu groß und die Konsequenzen nicht existent, warum sollten sie es nicht tun? Es werden buchstäblich Reichtümer gemacht [by] mit dem Diebstahl und Verkauf gestohlener Kreditkarten auf dem Schwarzmarkt.”

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com