Χρησιμοποιώντας το Magecart skimmer σε πλατφόρμες εστιατορίων, οι hackers κατάφεραν να κλέψουν τα δεδομένα 50.000 πιστωτικών καρτών.
Τα στοιχεία της κάρτας πληρωμής από πελάτες περισσότερων από 300 εστιατορίων έχουν κλαπεί σε δύο καμπάνιες web-skimming που στοχεύουν τρεις διαδικτυακές πλατφόρμες παραγγελιών.
Τα web-skimmers, ή το κακόβουλο λογισμικό Magecart, είναι συνήθως κώδικας JavaScript που συλλέγει δεδομένα πιστωτικής κάρτας όταν οι αγοραστές στο διαδίκτυο τα πληκτρολογούν στη σελίδα ολοκλήρωσης αγοράς.
Πρόσφατα, τα εργαλεία ανίχνευσης απειλών του Recorded Future εντόπισαν δύο καμπάνιες Magecart που εισάγουν κακόβουλο κώδικα στις διαδικτυακές πύλες παραγγελιών των MenuDrive, Harbortouch και InTouchPOS.
Ως αποτέλεσμα, 50.000 πιστωτικές κάρτες κλάπηκαν και έχουν ήδη προσφερθεί προς πώληση σε διάφορες αγορές στο dark web.
Δείτε επίσης: Επιθέσεις MageCart στοχεύουν εκατοντάδες παλιούς ιστότοπους Magento
Η πρώτη καμπάνια Magecart ξεκίνησε στις 18 Ιανουαρίου 2022 και έφτασε σε 80 εστιατόρια που χρησιμοποιούσαν το MenuDrive και 74 που χρησιμοποιούσαν την πλατφόρμα Harbortouch.
Τα περισσότερα από αυτά τα εστιατόρια είναι μικρές τοπικές εγκαταστάσεις σε όλες τις ΗΠΑ που χρησιμοποιούν την πλατφόρμα ως μια οικονομικότερη εναλλακτική λύση για την διευκόλυνση της διαδικασίας ηλεκτρονικής παραγγελίας.
Και στις δύο πλατφόρμες, το Magecart skimmer εισέβαλε στις ιστοσελίδες του εστιατορίου και στο subdomain που του εκχωρήθηκε στην πλατφόρμα της διαδικτυακής υπηρεσίας πληρωμών.
Το web skimmer που αναπτύχθηκε για το MenuDrive χρησιμοποίησε δύο scripts, ένα για την απόσπαση των δεδομένων της κάρτας πληρωμής και ένα άλλο για τη συλλογή του ονόματος, της διεύθυνσης email και του αριθμού τηλεφώνου του κατόχου της κάρτας, τα οποία επιτυγχάνονται με την επισύναψη στο συμβάν «onmousedown» και «απαντώντας σε κλικ πολλών κουμπιών κατά τη διάρκεια της διαδικασία δημιουργίας λογαριασμού και ολοκλήρωσης αγοράς.»
Στο Harbortouch, το skimmer χρησιμοποίησε ένα μόνο script για να κλέψει όλες τις προσωπικές πληροφορίες (PII) και τα δεδομένα της πιστωτικής κάρτας.
Η δεύτερη καμπάνια Magecart skimmer που στόχευε το InTouchPOS ξεκίνησε στις 12 Νοεμβρίου 2021, αλλά οι περισσότερες από τις μολύνσεις skimmer σε ιστοσελίδες έγιναν πολύ αργότερα, τον Ιανουάριο του 2022.
Δείτε επίσης: Πόσα data records που περιείχαν usernames και passwords παραβιάστηκαν το 2021;
Το Magecart skimmer και τα τεχνουργήματα που το χαρακτηρίζουν (ονομασία μεταβλητών, δομή, και σχήματα κρυπτογράφησης) το συνδέουν με παλαιότερες και συνεχιζόμενες καμπάνιες, αναφέρει το Recorded Future σε μια αναφορά που κοινοποιήθηκε στο BleepingComputer.
Σε αυτήν την περίπτωση, το Magecart skimmer δεν κλέβει τις λεπτομέρειες από τον ιστότοπο, αλλά αντιθέτως την επικαλύπτει με μια ψεύτικη φόρμα πληρωμής σε έγκυρους στόχους που είναι έτοιμοι για τη διαδικασία ολοκλήρωσης της αγοράς χρησιμοποιώντας μια πιστωτική κάρτα.
Σύμφωνα με το Recorded Future, και οι δύο καμπάνιες βρίσκονται σε εξέλιξη και τα αντίστοιχα domains διείσδυσης εξακολουθούν να είναι online και λειτουργικά.
Η εταιρεία ασφαλείας έχει ειδοποιήσει όλες τις επηρεαζόμενες οντότητες για την Magecart skimmer μόλυνση, αλλά δεν έχουν λάβει ακόμη απάντηση. Οι νομικές αρχές και οι πλατφόρμες πληρωμών έχουν ενημερωθεί σχετικά.
Στην περίπτωση του MenuDrive και του Harbortouch, η κατάργηση των Magecart skimmers απαιτεί σάρωση όλων των subdomains του εστιατορίου.
Η μόλυνση Magecart στο InTouchPOS είναι πιο εύκολο να εντοπιστεί με τα περισσότερα security scanners, καθώς χρησιμοποιεί JavaScript downloader για το skimmer, το οποίο μπορεί να εντοπιστεί μέσω απλής σύγκρισης κώδικα.
Πηγή: bleepingcomputer.com
