Ένας χάκερ έχει μολύνει ένα κατάστημα e-commerce με έναν προσαρμοσμένο «credit card skimmer» που έχει σχεδιαστεί για να κλέψει δεδομένα που έχουν κλαπεί από έναν άλλο κλέφτη καρτών Magento που είχε ήδη αναπτυχθεί.
Τα “credit card skimmers” (γνωστά και ως skimmers καρτών πληρωμών ή scripts Magecart) είναι scripts JavaScript που είναι γνωστά ως Magecart groups που εισάγονται σε χακαρισμένα e-commerce sites ως μέρος web-επιθέσεων (επίσης γνωστές ως e-skimming).
Τελικός στόχος τους είναι να κλέψουν τις πληροφορίες πληρωμών και τα προσωπικά στοιχεία που υποβάλλονται από τους πελάτες των παραβιασμένων καταστημάτων και να τα συλλέξουν σε απομακρυσμένους servers που έχουν υπό τον έλεγχό τους.
Κλέβει από κλέφτες
Οι ερευνητές ασφαλείας του Malwarebytes ανακάλυψαν το piggybacking skimmer, ενώ ερευνούσαν ένα τεράστιο κύμα από παραβιασμένα διαδικτυακά καταστημάτα που έτρεχαν το software Magento 1.
Παρόλο που δεν εντοπίστηκαν πολλά card skimmer scripts στο ίδιο ηλεκτρονικό κατάστημα, αυτό ξεχώρισε λόγω της ιδιαίτερα εξειδικευμένης φύσης του.
Και οι προσπάθειες των χάκερ να πάρουν τα χέρια τους στα οικονομικά στοιχεία των πελατών του διαδικτυακού καταστήματος δεν σταμάτησαν εκεί: ανέπτυξαν επίσης μια δεύτερη έκδοση του skimmer τους με σκοπό να εισάγουν πεδία φόρμας πληρωμών που μιμούνται τον νόμιμο επεξεργαστή πληρωμών του καταστήματος.
Η Costway, ο πωλητής λιανικής που επλήγη από αυτήν την επίθεση, χρησιμοποίησε το software Magento 1 στα διαδικτυακά καταστήματα της Γαλλίας, του Ηνωμένου Βασιλείου, της Γερμανίας και της Ισπανίας, τα οποία παραβίαστηκαν την ίδια ημερομηνία με αυτά που εντοπίστηκαν από τους ερευνητές του Malwarebytes.
Το skimmer που αναπτύχθηκε από τον πρώτο χάκερ που χάκαρε τους ιστότοπους της Costway έκανε injection τα δικά του πεδία φόρμας συλλογής δεδομένων στις σελίδες αγοράς των ιστότοπων.
Ο δεύτερος χάκερ φόρτωσε τους προσαρμοσμένους card skimmers από το securityxx[.]top, έναν που συλλέγει άμεσα δεδομένα από το ήδη υπάρχον skimmer και το δεύτερο που ενεργοποιείται εάν το κατάστημα καθαριστεί από τον κακόβουλο κώδικα που εγχύθηκε κατά τη διάρκεια του hack Magento 1.
Όπως επισημαίνει η Sophos, οι δύο χάκερ εγκατέστησαν τρία ξεχωριστά skimmers πιστωτικών καρτών αφού έθεσαν σε κίνδυνο τα καταστήματα της Costway:
- Το Magento 1 hack skimmer εισήχθη απευθείας στη σελίδα ολοκλήρωσης αγορών
- Το προσαρμοσμένο skimmer (securityxx[.]top/security.js) που κλέβει από το Magento 1 skimmer
- Το προσαρμοσμένο skimmer (securityxx[.]top/costway.js) που τροποποιεί το νόμιμο iframe πληρωμής
Η Malwarebytes ενημέρωσε την Costway ότι τα καταστήματά της είχαν παραβιαστεί και μολύνθηκαν με skimmers πιστωτικών καρτών, αλλά ο ιστότοπος costway[.]fr παραμένει σε κίνδυνο.
Πηγή πληροφοριών: bleepingcomputer.com
