Magecart: заплаха за електронната търговия

Magecart: заплаха за електронната търговия

В началото на юли авиокомпанията British Airways бе глобена с 183 милиона паунда. Глобата, наложено от Бюрото на британския информационен комисар (ICO), беше за нарушаване на данните, което засегна около 500 000 клиенти миналата година. Отначало, никой не знаеше кой стои зад тази масирана кражба на данни. Няколко дни след като новината се появи в заглавията, специалистите на InfoSec започнаха да говорят за група кибератаки, наречена Magecart.

Според RiskIQ, Magecart атакува онлайн приложения поне от 2016 г. Нейният начин на работа е да вмъкне злонамерен код в уебсайтовете на атакуваните компании, за да открадне данните на клиентите им, когато правят покупка. Тази техника се нарича digital skimming. Освен BA, жертвите на Magecart включват компании като Ticketmaster, Forbes и Amazon CloudFront.

Две масивни кампании с Magecart
В началото на юли експерти по кибер сигурност откриха голяма кампания на Magecart, която засегна 962 уебсайта за електронна търговия само за 24 часа. Sanguine Security – компания, която сканира за зловреден софтуер в популярната платформа за електронна търговия Magento, я нарече “най-голямата автоматизирана кампания до момента”.

Компанията вярва, че кампанията би могла да бъде улеснена от уязвимост в Magento. Например през март в платформата беше открита уязвимост от SQLi. Въпреки че е започнала кръпка, за да се определи недостатъкът, много компании изпитват затруднения, когато става въпрос за корекции на техните системи, така че е много вероятно голям брой организации да не са инсталирали актуализацията.

След това, на 10 юли, беше открита друга масова кампания, в която киберпрестъпниците успяха да добавят Magecart код на над 17 000 домейна с JavaScript файлове в неправилно конфигурирани контейнери на Amazon S3.

Кампанията, която започна през април, използва факта, че много сайтове, които използват облачното хранилище на Amazon, не осигуряват подходящ достъп до своите активи.

Според RiskIQ нападателите са модифицирали скриптовете безразборно; някои от засегнатите JavaScript файлове не бяха на страниците за плащане, така че данните за плащане не можаха да бъдат откраднати.

Yonathan Klijnsma от RiskIQ обяснява, че: „След като нападателите открият неправилно конфигуриран контейнер, те я сканират за всеки JavaScript файл (завършващ с разширение .js). След това изтеглят тези JavaScript файлове, добавят подправения код към него и презаписват скрипта в контейнера. ”

Magecart: опасност за електронната търговия
Групата Magecart – всъщност организация на няколко подгрупи – използва много усъвършенствани техники, за да направи по-трудно откриването на техния код.

Каква процедура следват? При една особено сложна атака нападателите регистрираха домейн с подобно име като това на “атакувания”. От този домейн те пуснаха скрипта си на уебсайта на жертвата, като го съчетаха със скриптовете, които вече се намират на истинския уебсайт. За да не предизвикат подозрения, стигнаха дотам, че да получат SSL сертификат за своя злонамерен домейн. Групата използва този злонамерен скрипт, за да открадне личните данни на клиентите на уебсайта.

Когато скриптът беше открит и изтрит, нападателите запазиха достъпа си до уебсайта. Те регистрираха домейн с подобно име на chatbot, използван от жертвата. С подобни техники непрекъснато атакуваха тази компания, като крадяха повече лични данни.

Опасностите във веригата за доставки
Една от причините, поради които Magecart е толкова опасна заплаха е, че не атакува директно компаниите. Една тактика, която групата използва все по-често, е атаките във веригата за доставки, нарастващата тенденция сред киберкриминалните организации през 2019 г. Един от начините за това е да се инсталира техния код в доставчиците на уеб реклами, които след това ще бъдат вградени в уебсайта, който искат да атакуват. По този начин могат да се промъкнат незабелязано на уебсайтовете на жертвата си.

Как да защитите фирмата си
Magecart има широк спектър от техники и вектори, които заплашват вашата компания. Ето защо е толкова важно да имате строг контрол върху вашата ИТ мрежа и всичко, което се случва в нея.

Panda Adaptive Defense постоянно следи всеки процес, който се извършва в системата. Той открива всеки аномален или подозрителен процес, като целта е да спре всички заплахи, преди те да могат да се случат. По този начин ще бъде открит всеки подозрителен код.

Смята се, че поне една от масивните кампании на Magecart е улеснена от уязвимост в уеб приложение. За да се намали повърхността на атаката, е важно да се поправят системите и приложенията, които вашата компания използва. За да направи задачата по поправяне на системите по-лесна, Panda Adaptive Defense има модула Panda Patch Management.

Тъй като електронната търговия е сектор, който непрекъснато се разраства, много вероятно ще продължим да виждаме атаките на Magecart, които ще експлоатират компании, които нямат адекватна защита. Затова осигуряването на сигурността на фирмата ви, както и на клиентите и потребителите е от съществено значение.

Източник: Panda Media Center

За Panda Security

Превърнала се в един от водещите световни разработчици на решения за ИТ сигурност, Panda Security има представителства в 80 страни и милиони потребители в повече от 195 държави. Предлага продукти, адаптирани на 23 езика. Обновявайки решенията си компанията постоянно внедрява нови модели и технологии и повишава ефективността си в борбата с интернет заплахите. Благодарение на модула за сигурност Tru Prevent и технологията Collective Intelligence всяко решение предпазва максимално ценната ИТ информация, както от познати заплахи, така и от все още некласифицирани опасности. Panda Security се старае да улесни своите клиенти в съответствие с фирмения си девиз: „Една стъпка преди” всеки нов зловреден код (вирус, шпионски код, спам и др.).

Panda Security си сътрудничи със Special Olympics, WWF и Invest for Children, което е част от корпоративната политика на фирмата за социално отговорно поведение.

За допълнителна информация:

Компютел ООД – Официален представител на Panda Security за България
София: 02/ 813 28 11
Пловдив: 032/ 62 16 08

Сподели в:

Категории:

Следвай ни в: