Ένα malware που είναι σχεδόν αδύνατο να αφαιρεθεί ενεργοποιήθηκε αυτόματα τη Black Friday και αναπτύχθηκε σε πολλά διαδικτυακά καταστήματα που λειτουργούν με Magento, αναφέρει η ολλανδική εταιρείας ασφάλειας στον κυβερνοχώρο Sansec.
Οι χάκερ πίσω από αυτές τις επιθέσεις skimming (επίσης γνωστοί ως Magecart) στοχεύουν και διεισδύουν σε διαδικτυακά καταστήματα που τροφοδοτούνται από το Magento 2.2.3 έως το 2.2.7 – ξεκινώντας από τον Απρίλιο του 2020.
Οι επιτιθέμενοι εκμεταλλεύτηκαν πολλές ευπάθειες ασφαλείας επηρεάζοντας αυτές τις παλαιότερες και καταργημένες εκδόσεις Magento 2.x για να κάνουν injection σε backdoors και να εισάγουν scripts κλοπής πιστωτικών καρτών που τους επέτρεψαν να συλλέξουν τα δεδομένα των καρτών πληρωμής των πελατών.
Οι skimmers της πιστωτικής κάρτας είναι scripts που βασίζονται σε JavaScript, τα οποία εισήχθησαν από τις εγκληματικές ομάδες Magecart σε σελίδες παραβιασμένων ιστότοπων e-commerce. Ο στόχος τους είναι το exfiltrate των πληροφοριών πληρωμής που υποβάλλονται από τους πελάτες σε servers που βρίσκονται υπό τον έλεγχό τους.
Έργο τέχνης του ρομπότ Ai-Da πωλήθηκε για $ 1,3 εκατ.
Πώς να Αναγνωρίσετε AI Video Call Scams;
Τα μελλοντικά VR headsets θα διαθέτουν ολογραφικούς φακούς
Οι χάκερ χρησιμοποίησαν μια σύνθετη υποδομή web skimming που χρησιμοποιούσε malware backend και frontend, καθώς και αρκετές τεχνικές προστασίας που επέτρεψαν την αποφυγή της αφαίρεσης από τα παραβιασμένα καταστήματα, ακόμη και μετά τον εντοπισμό της επίθεσης.
Το skimming script έδειξε ψεύτικες προσαρμοσμένες φόρμες πληρωμής στο interface των παραβιασμένων καταστημάτων και σε ορισμένες περιπτώσεις έστειλε τις πληροφορίες πληρωμής που συλλέχθηκαν στο /checkout.
Αυτή η τακτική χρησιμοποιήθηκε για να μιμηθεί μια κανονική ροή συναλλαγών πληρωμής για να καταστήσει πιο δύσκολο για τα συστήματα παρακολούθησης ασφάλειας των ιστότοπων ηλεκτρονικού εμπορίου το να εντοπίσουν οποιαδήποτε κακόβουλη δραστηριότητα.
Οι ερευνητές αναφέρουν ότι οι χάκερ θα επιμολύνουν εκ νέου τους ιστότοπους ηλεκτρονικού εμπορίου μετά την κατάργηση της “υβριδικής αρχιτεκτονικής skimming”, διεισδύοντας ξανά στον server και επανατοποθετώντας το malware μέσα σε λίγες ημέρες μετά την εκκαθάριση του καταστήματος.
Πηγή πληροφοριών: bleepingcomputer.com