ΑρχικήsecurityΤο Magecart malware χτυπά ξανά και ξανά σε e-commerce websites

Το Magecart malware χτυπά ξανά και ξανά σε e-commerce websites

Το shopping cart malware, γνωστό ως Magecart, εξακολουθεί να είναι ένα από τα πιο δημοφιλή εργαλεία στην εργαλειοθήκη των επιτιθέμενων, και παρά τις προσπάθειες για τον μετριασμό και την εξάλειψη της παρουσίας του, παραμένει φουλ ενεργό.

Εντοπίστηκε για πρώτη φορά το 2018, όταν βρισκόταν πίσω από το αξιοσημείωτο exploit της Ticketmaster UK και εξακολουθεί να χρησιμοποιείται μέχρι σήμερα. Το όνομα αναφέρεται σε μια εφαρμογή καλαθιού αγορών ανοιχτού κώδικα που ονομάζεται Magento, η οποία χρησιμοποιείται για την κλοπή δεδομένων πιστωτικών καρτών και στη συνέχεια πωλείται μαζικά σε εγκληματίες του κυβερνοχώρου μέσω του dark web, του σκιερού τμήματος του διαδικτύου στο οποίο είναι δυνατή η πρόσβαση με ειδικό λογισμικό. Λειτουργεί με την αντικατάσταση του δικού του κώδικα αντί για ένα νόμιμο λογισμικό καλαθιού, ή από χάκερ που αποκτούν τον έλεγχο αχρησιμοποίητων έργων GitHub και στη συνέχεια τα διανέμουν σε όλο το διαδίκτυο σε ανυποψίαστα θύματα.

Το Magecart είναι ένα χαρακτηριστικό παράδειγμα του πόσο δύσκολο είναι να διατηρηθεί η επαγρύπνηση στον κυβερνοχώρο. Αυτό οφείλεται στο γεγονός ότι η μέση βιτρίνα ηλεκτρονικού εμπορίου εξαρτάται από δώδεκα ή περισσότερα ξεχωριστά κομμάτια κώδικα, συμπεριλαμβανομένων διακομιστών διαφήμισης, βάσεων δεδομένων, συστημάτων back office και, ίσως τον πιο αδύναμο κρίκο όλων, μια ρουτίνα καλαθιού αγορών που χρησιμοποιείται για τη συλλογή χρημάτων από τους πελάτες. Έτσι, δεν αποτελεί έκπληξη το πόσο δελεαστικά μπορεί να είναι αυτά τα ηλεκτρονικά καλάθια για τους εγκληματίες του κυβερνοχώρου- η εύρεση όλων των διαφόρων δεικτών συμβιβασμού που σχετίζονται με αυτά δεν είναι εύκολη.

Οι ομάδες πίσω από το Magecart χρησιμοποιούν τους λεγόμενους bulletproof hosting providers, πράγμα που σημαίνει ότι οι λογαριασμοί τους δεν μπορούν εύκολα να τερματιστούν από τις διωκτικές αρχές μόλις εντοπιστούν. Επιπλέον, οι εν λόγω φορείς συνεργάζονται με εγκληματικές συμμορίες που αναφέρονται ως skimmers, οι οποίες συλλέγουν δεδομένα πιστωτικών καρτών από παραβιασμένα ΑΤΜ σε όλο τον κόσμο.

Magecart
A

Παγκόσμια εμβέλεια

Αυτό συνέβη πρόσφατα, όπως αναφέρει η Sucuri, όταν το κακόβουλο λογισμικό της μόλυνε το πρόσθετο WooCommerce WordPress. Επιπλέον, δραστηριοποιούνται παγκοσμίως λόγω της παγκόσμιας εμβέλειας του διαδικτυακού εμπορίου.

Από τις πρώτες μέρες της λειτουργίας του, το Magecart έχει στοιχειώσει πολυάριθμες ιστοσελίδες ηλεκτρονικού εμπορίου, με ετήσιες αναζωπυρώσεις τα τελευταία χρόνια. Εκτός από την επίθεση στο WooCommerce, φέτος το Magecart βρέθηκε να μολύνει το Google Tag Manager και μια σειρά νέων τρόπων επίθεσης καταγράφηκαν από το MalwareBytes.

Αυτό το τελευταίο στοιχείο είναι ιδιαίτερα ανησυχητικό, επειδή το κακόβουλο λογισμικό χρησιμοποιεί copycat web pages που φαίνονται νόμιμες, συμπεριλαμβανομένων πραγματικών λογότυπων και άλλων τεχνικών για να κάνουν τις σελίδες με κακόβουλο λογισμικό πειστικές.

Πέρυσι, το Magecart μόλυνε περισσότερες από 300 αλυσίδες εστιατορίων σε τρεις διαφορετικούς ιστότοπους online παραγγελιών, σύμφωνα με μια ανάλυση. Οι ερευνητές διαπίστωσαν τροποποιήσεις στις βιβλιοθήκες κώδικα που ανακατευθύνουν τις πληρωμές σε domain που ελέγχονται από εγκληματίες. Το κακόβουλο λογισμικό ήταν παρόν σε ορισμένα από αυτά τα συστήματα για πολλούς μήνες πριν ανακαλυφθούν οι τροποποιήσεις. Ωστόσο, είναι δύσκολο να κατηγορήσει κανείς το τυπικό εστιατόριο, το οποίο ήταν χτυπημένο από την πανδημία και προσπαθούσε να εφαρμόσει νέα και άγνωστη τεχνολογία μόνο και μόνο για να κρατηθεί όρθιο.

Magecart

Πώς να επιτεθείτε στους επιτιθέμενους

Αυτό που κάνει αυτές τις επιθέσεις δύσκολο να εντοπιστούν είναι το γεγονός ότι οι μολυσμένες ιστοσελίδες βρίσκονται βαθιά κρυμμένες σε υποκαταλόγους στους ιστότοπους, οπότε κάποιοι σαρωτές ασφαλείας μπορεί να μην τις ανακαλύψουν και κάποιοι αναλυτές ασφαλείας μπορεί να μην ξέρουν πού να ψάξουν. Ακόμα χειρότερα, πολλοί διαχειριστές ιστότοπων μπορεί να μην έχουν εκτελέσει σάρωση ασφαλείας από τη στιγμή που ο κώδικας JavaScript της σελίδας τροποποιήθηκε από εγκληματίες. Πρόκειται για μια συνεχή μάχη, πράγμα που σημαίνει ότι δεν έχει νόημα να περιμένετε μέχρι την ώρα του ελέγχου για να κάνετε σαρώσεις ασφαλείας.

Το Magecart δεν είναι το μόνο κακόβουλο λογισμικό που συνεχίζει να επαναπροσδιορίζεται και να γίνεται πιο θανατηφόρο- δείχνει πώς ο βασικός του κώδικας παραμένει για πολλά χρόνια, παρά τις προσπάθειες να απαλλαγούμε από αυτό. Οι ιστότοποι ηλεκτρονικού εμπορίου θα πρέπει να φροντίζουν να διασφαλίζουν ότι οποιοσδήποτε κώδικας τρίτου μέρους στις βιτρίνες των διαδικτυακών καταστημάτων τους σαρώνεται συχνά για αλλαγές και ότι οι αλλαγές αυτές παρακολουθούνται από τους προμηθευτές τους. Μπορεί επίσης να είναι συνετό να απαιτούν να ελέγχεται τακτικά οποιοσδήποτε τέτοιος κώδικας, ώστε να διασφαλίζεται ότι είναι απαλλαγμένος από κακόβουλο λογισμικό.

Στη συνέχεια, ο κώδικας αυτός θα πρέπει να φιλοξενείται στην υποδομή της εταιρείας: Η British Airways, ένα άλλο θύμα του Magecart το 2018, για παράδειγμα, ανακάλυψε ότι η επίθεσή της βασιζόταν σε έναν “baggage claim server” που φιλοξενούνταν εξωτερικά.

Τέλος, οι εταιρείες θα πρέπει να διασφαλίζουν ότι εφαρμόζουν ενημερώσεις και διορθώσεις λογισμικού το συντομότερο δυνατό. Οι χρήστες του Magento που εκτέθηκαν από τους πρώτους επιτιθέμενους καθυστέρησαν αυτές τις ενημερώσεις, γεγονός που τους επέτρεψε να εκτεθούν από μολυσμένες με κακόβουλο λογισμικό outdated εκδόσεις λογισμικού.

Πηγή πληροφοριών: siliconangle.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS