Salesforce се използва за хост на Magecart скимъри и откраднати карти

Salesforce се използва за хост на Magecart скимъри и откраднати карти
salesforce

Престъпниците  от Magecart бяха забелязани тази седмица, докато започват да злоупотребяват с облачната платформа за приложения на Salesforce Heroku, за да хостват скриптове за сканиране на карти и да съхраняват информация за откраднати платежни карти.

Heroku е облачна платформа като услуга (Paas), създадена да помогне на компаниите и отделните разработчици бързо да изграждат и хостват уеб приложения, без да се притесняват и от това, че ще управляват инфраструктурата зад тях.

Множество примери за хоствани от Heroku скимъри Magecart бяха открити от външен екип за киберсигурност, като повечето от тях се използват в активни кампании от началото на тази седмица.

Всички скриптове на Magecart, открити в Heroku, бяха докладвани на екипа по операциите за злоупотреба със Salesforce, който незабавно ги е свалил според думи на компанията.

salesforce

Хероку използван или употребен

Престъпниците се възползваха от модела Freemium Heroku, който им позволи да използват платформата като безплатен уеб хостинг услуга за своите скиминг операции, след като регистрират безплатен акаунт.

С помощта на Heroku те успяха лесно да създадат модулни уеб приложения за скимиране на карти, включващи основен модул за скимер, който се инжектира в компрометирани сайтове за електронна търговия, използвайки един ред код.

„Нейната цел е да наблюдава текущата страница и да зарежда втори елемент (злонамерена рамка на злонамерена кредитна карта), когато текущият URL адрес на браузъра съдържа кодирания низ Base64 Y2hlY2tvdXQ = (проверка)“, добавя експертът  Жером Сегура.

Измамният ифрейм, показван от злонамереното уеб приложение върху формулярите за плащане, е идентичен с оригиналите и е предназначен да събира информация за кредитната карта на клиентите без тяхно знание и без да повдига никакви въпросителни.

salesforce

След като успешно се събере информация за картата на потребителя, откраднатите данни ще бъдат автоматично изпратени обратно в пространството за съхранение на уеб приложението Magecart на Heroku в кодиран формат. “Накрая откраднатите данни се ексфилтрират, след което жертвите ще получат съобщение за грешка, което ги инструктира. за да презаредите страницата, казваСегура.  „Това може да е, защото формулярът трябва да бъде пренесен правилно, без фрейма този път.“

Облачните услуги – любим избор на хостинг на скимър

Magecart групи експлоатират уязвимите магазини за електронна търговия като част от така наречените атаки за електронен скимминг чрез инжектиране на злонамерени скриптове, базирани на JavaScript, в страниците за плащане. Крайната им цел е да събират информация за плащанията, предоставена от техните клиенти, и да я изпратят до отдалечени сайтове, които атакуващите контролират.

Това не е първият път, когато участниците в Magecart злоупотребяват с облачни услуги, като GitHub се използва за домакин на скрити скриптове за сканиране на карти, които в крайна сметка се инжектират в стотици компрометирани онлайн магазини.

През юни атаките на Magecart инжектират скимери, хоствани върху компрометирани елементи от  Amazon CloudFront CDN S3 в рамките на страницата на Washington Wizards на официалния сайт на NBA.com.

Месец по-късно над 17 000 домейни се заразиха с код за снимане на разплащателни карти от нападатели, които злоупотребяват с неправилно конфигурирани портфейли Amazon S3, както откриха изследователите от RiskIQ.

Групите за киберпрестъпления, стоящи зад тези видове атаки, са активни поне от 2010 г. по доклад на RiskIQ от октомври, и те са известни, че се фокусират върху сайтове, захранвани от Magento, макар че наскоро те също започнаха да се насочват към OpenCart, PrismWeb, е- магазини, работещи с OSCommerce.

RiskIQ изчислява, че тези операции в мрежата може да са засегнали милиони клиенти на електронната търговия, като телеметричните данни показват общо 2,086,529 случая на идентифициране  на Magecart.

Източник: По материали от интернет

Сподели в:

Категории:

Следвай ни в: