Die Sicherheitsforscher der ThreatLabZ-Abteilung von Zscaler entdeckten in den letzten Wochen einen Anstieg in kompromittierten Online-Shopping, denen ein Skimming-Skript injiziert wurde. Dieses Skript sucht nach Zahlungsmethoden sowie persönlichen, identifizierbaren Informationen (PII).
Die erfassten Finanzinformationen werden dann an einen C&C-Server gesendet und zwar bereits bevor der Benutzer ein ausgefülltes Formular abschickt. Der Skimmer-Code schlägt zu, wenn die Zahlungsmethode und persönliche Informationen eingegeben sind und erfasst die Daten bevore „Submit“ angeklickt wird. Die erfassten Informationen werden im Anschluss mit einem Base64-Algorismus verschlüsselt und in einem Get-Request zur Gate-URL geschickt.
Die aktuellen Magecart-Aktivitäten zeigt eine Weiterentwicklung der struktierierten Vorgehensweise der Gruppierung. Die Skripts werden für verschiedene Angriffe verwendet, zeigen URL-Parameter-Muster und die Verwendung der Algorithmen die für die Datenverschlüsselung verwendet werden. Auch wenn sich die Angriffszyklen ähneln, wurden bei der Analyse der neuen Aktiviäten auch Unterschiede deutlich. Einige nutzen Verschleierung um den injizierten Skript-Code zu verstecken und verwenden weitere kompromittierte Seiten zum Hosten des Skimmer-Skripts. Andere setzen auf neu registrierte Domaines für das Skimmer-Skript-Hosting. Unabhängig vom Ladeprozess des Skripts, kommt der Skimmer-Code so gut wie ohne Verschleiderung aus.
Bereits im Juli war eine größere Kampagne der Gruppierung durch Zscaler bekannt gemacht worden. Die Kriminellen verwendeten stark verschleierte Java-Skripte mit verschlüsselten Befehlszeilen, die dynamisch injiziert wurden. In anderen Fällen wurde bösartiger Java-Skript-Code direkt in die E-Commerce-Seiten geschleust. Diese Mechanismen unterschieden sich von den entdeckten Angriffen aus dem Jahr 2018, als der Schadcode noch über Fernzugriff eingespeist wurde. Die Vorgehensweise der Magecart-Gruppe, um ihre schädlichen Aktivitäten im Verborgenen durchführen zu können, haben die Sicherheitsforscher des ThreatLabZ gezielt in ihrer Analyse unter die Lupe genommen.
ThreatLabZ verfolgt derartige Kampagnen und schützt Kunden vor Skimming oder anderen Arten des Datendiebstahls. Hier geht es zum kompletten Blogbeitrag über den jüngsten Angriff der Magecart-Hacker: https://www.zscaler.com/blogs/research/magecart-hits-again-leveraging-compromised-sites-and-newly-registered-domains
#Netzpalaver #Zscaler
