Група Magecart зламала PrismRBS і модифікувала платформу електронної комерції PrismWeb.
Група хакерів підкинула шкідливий код JavaScript, який викрадає дані платіжної картки в системі електронної комерції, яка використовується коледжами та університетами Канади та США.
Шкідливий код було виявлено в 201 інтернет-магазині, який обслуговував 176 коледжів і університетів у США та 21 у Канаді, повідомляє Trend Micro з питань кібербезпеки. звіт випущений у п'ятницю.
Атаку називають дослідники безпеки атака Magecart --що полягає в тому, що хакери розміщують шкідливий код JavaScript на сторінках оформлення та оплати в онлайн-магазинах для запису даних платіжних карток, які вони згодом завантажують на свої сервери та перепродають підпільним кіберзлочинцям форуми.
Хакери зламали PrismRBS
Ця конкретна атака Magecart була виявлена 14 квітня, згідно з Trend Micro, і вплинула PrismRBS, компанія, що стоїть за PrismWeb, платформа електронної комерції (а-ля Shopify), яка продається коледжам і університетам Північної Америки.
Trend Micro повідомила, що хакери зламали PrismRBS і модифікували платформу PrismWeb, щоб включити шкідливий файл JavaScript, який завантажувався на всіх активних розгортаннях PrismWeb.
Сценарій, змодельований так, щоб виглядати як файлова частина служби Google Analytics, був активним до 26 квітня, коли Trend Micro повідомила постачальника, який вжив заходів для видалення коду скімера картки.
У заяві, оприлюдненій Trend Micro, PrismRBS офіційно визнала злом і заявила, що повідомляє вплинули на коледжі, а також залучення зовнішньої ІТ-криміналістичної фірми для глибшого вивчення інциденту.
Атаки Magecart розширюються
Протягом останніх кількох місяців було чимало хакерських груп, які почали здійснювати атаки на Magecart (JS card skimming, JS card sniffing), і зараз їх число обчислюється десятками.
За даними Trend Micro, інфраструктура цієї групи не збігалася з будь-якими відомими кіберзлочинними групами Magecart.
Йонатан Клейнсма, провідний дослідник загроз у RiskIQ і один із людей, які відстежували групи Magecart з моменту їх перших атак, сказав ZDNet, що одна з причин, чому охоронні фірми тепер важко відстежувати окремі групи через те, що багато хто купує та використовує ті самі набори для сканування Magecart на хакерських форумах, що робить атаки все більш і більш помітними загальний.
Раніше цього тижня RiskIQ опублікував звіт, у якому попередив компанії про те, що атаки Magecart зараз поширення на інші платформи електронної комерції, і не відбуваються лише в магазинах на основі Magento, як це було спочатку. Інші платформи електронної комерції, на які націлені, включають OpenCart, OSCommerce, WooCommerce і Shopify.
Ще одна зростаюча тенденція, яка також мала місце тут, у випадку злому PrismRBS, полягає в тому, що групи Magecart не атакуйте безпосередньо магазини/компанії, а переслідуйте один із їхніх компонентів у класичному ланцюжку поставок напад.
У цьому випадку хакери націлилися на платформу електронної комерції PrismWeb, але в минулому інші групи Magecart також переслідували постачальників чату та віджетів підтримки, які іноді завантажуються в електронній комерції магазинах.
Кіберзлочинність і зловмисне програмне забезпечення, прогнози на 2019 рік
Докладніше про порушення даних:
- Amnesty International стверджує, що «спонсоровані державою» хакери націлилися на базу в Гонконзі
- FTC вдарила дві компанії по зап’ястках після жахливих хакерів
- Корпорація Майкрософт повідомляє про порушення безпеки, яке вплинуло на деякі облікові записи Outlook
-
Злом Docker Hub викрив дані 190 000 користувачів
- Facebook зізнався, що зберігає паролі у відкритому вигляді для мільйонів користувачів Instagram
- Веб-сайти Cartoon Network зламали, щоб показати арабські меми та відео чоловіків-стриптизерок
-
Сотні мільйонів паролів Facebook були відкритими у відкритому вигляді CNET
- Скандал із конфіденційністю даних Facebook: шпаргалкаTechRepublic