Ažurirano: Istraživači su pronašli još jedan primjer tajnih aktivnosti Magecarta samo 24 sata nakon posljednjeg incidenta u vezi s plodnom hakerskom skupinom.
Istraživači su tek jučer potvrdili masu shema skimminga platnih kartica kojim upravlja Magecart koji je kompromitirao internetsku trgovinu televizijske kuće ABS-CBN; sada je grupa za kibernetičku prijetnju uzela novu žrtvu u Neweggu.
Sigurnost
- 8 navika iznimno sigurnih radnika na daljinu
- Kako pronaći i ukloniti špijunski softver s telefona
- Najbolje VPN usluge: Kako se uspoređuju prvih 5?
- Kako saznati jeste li uključeni u povredu podataka -- i što učiniti sljedeće
Istraživači iz RiskIQ-a, zajedno s Volexityjem, otkrili su da je kalifornijski trgovac na malo Newegg posljednji poznati trgovac koji je podlegao prijetnjama.
U srijedu, zaštitarska tvrtka rekao je u postu na blogu da je od 13. kolovoza u tijeku shema plaćanja.
Hakerska grupa Magecart, koja djeluje od 2015. godine, registrirala je domenu pod nazivom neweggstats.com. Budući da je slična Newegg-ovoj legitimnoj domeni, newegg.com, vjerojatno je registrirana da izgleda kao pravo proširenje prave domene.
Magecart je tada nabavio sigurnosni certifikat, a izdao ga je Comodo.
Prema istraživačima, dan nakon registracije, Magecart je usmjerio domenu na 217.23.4.11, što je poslužitelj kojim grupa upravlja kako bi primala podatke o ukradenim kreditnim karticama.
TechRepublic: Zašto 31% povreda podataka dovodi do otpuštanja zaposlenika
Ali odakle bi ti podaci došli?
Sam Newegg. Otprilike istog dana, kibernetički napadači uspjeli su se infiltrirati u Newegg sustave i ubaciti kod skimmera platnih kartica u proces naplate e-prodavača.
RiskIQ kaže da je kod bio zamagljen, što je uobičajena praksa koja povezuje Magecart sa sličnim napadima na ABS-CBN, British Airways, i Ticketmaster.
Nakon što je kupac odabrao proizvod na platformi i stavio artikl u svoju online košaricu, započeo je prvi korak procesa naplate, a to je bila provjera fizičke adrese. Kupac je zatim poslan na novu stranicu kako bi započeo financijski aspekt kupnje.
CNET: Povreda podataka e-pošte State Departmenta otkriva podatke zaposlenika
Upravo je na ovoj stranici zlonamjerni kod počeo raditi, bez obzira je li korisnik pristupio Neweggu putem stolnog računala ili mobilnog uređaja.
"Skimer je postavljen na samu stranicu za obradu plaćanja, a ne u skriptu, tako da se ne bi prikazao osim ako se ne otvori stranica za plaćanje", kažu istraživači. "Odlazak na tu stranicu znači da je kupac prošao kroz prva dva koraka -- ne bi mogao doći do stranice za naplatu bez stavljanja bilo čega u košaricu i unos potvrđene adrese."
Šifra skimmera sadrži iste osnovne komponente kao šifra korištena u povredi podataka British Airwaysa. Međutim, osnovni kôd je u ovom slučaju sažet na samo 15 redaka skripte.
Skimmer kod je bio u funkciji najmanje mjesec dana i nije uklonjen sve do 18. rujna.
RiskIQ viši analitičar obavještajnih podataka o prijetnjama Yonathan Klijnsma rekao je za ZDNet da je Volexity otkrio skimmerova prisutnost u Neweggu ujutro 18., pri čemu je zlonamjernu skriptu uklonio poslijepodne.
Prema Similarwebu, trgovac prima preko 50 milijuna posjeta na mjesec. Stoga je moguće da je tajna operacija ugrabila podatke potencijalno milijuna kupaca Newegga.
"RiskIQ-ovo automatsko otkrivanje slučajeva kršenja Magecarta šalje nam ping gotovo svakih sat vremena", kaže tvrtka. "U međuvremenu, vidimo kako se napadači razvijaju i poboljšavaju tijekom vremena, postavljajući svoje stranice na kršenja velikih robnih marki."
"Dok neke Magecart grupe još uvijek ciljaju manje trgovine, podskupina odgovorna za napade na Newegg i British Airways je posebno odvažni, izvode lukave, visoko ciljane napade sa skimmerima koji se besprijekorno integriraju u web stranice svojih meta," RiskIQ dodan.
Više Magecart pokrivenosti: Podaci o korisnicima emitera ABS-CBN ukradeni, poslani ruskim poslužiteljima | Feedify postaje posljednja žrtva kampanje zlonamjernog softvera Magecart | Proboj British Airwaysa koji je uzrokovala ista skupina koja je napala Ticketmaster | Kršenje Ticketmastera bilo je dio većeg pokušaja krađe kreditne kartice, pokazuje analiza |
Ažuriranje 20.9, 9.10 BST: Glasnogovornik Comoda rekao je za ZDNet:
"SSL certifikat koji je Comodo CA izdao neweggstats.com, domeni uključenoj u napad, koristio je Comodo CA Domain Validation (DV) certifikat.
Comodo CA je opozvao DV certifikat. Comodo CA izdao je DV certifikat 13. kolovoza 2018., nakon što je slijedio sve industrijske standarde i osnovne zahtjeve CA/Browser Foruma.
Dok Tijela za izdavanje certifikata (CA) mogu i moraju autentificirati tražitelje certifikata prema njihovoj provjeri valjanosti razini (EV, OV ili DV), oni ne mogu uočiti namjeru tražitelja certifikata prije stvarnog svijeta koristiti."
ZDNet je kontaktirao Newegg i ažurirat će ga ako nam se javi.
Kako otkriti i uništiti špijunski softver na vašem pametnom telefonu (u slikama)
Prethodno i povezano izvješće
- Proboj British Airwaysa koji je uzrokovala ista skupina koja je napala Ticketmaster
- Feedify postaje posljednja žrtva kampanje zlonamjernog softvera Magecart
- Podaci o korisnicima emitera ABS-CBN ukradeni, poslani ruskim poslužiteljima