Angriff von Magecart Hackern auf mehr als 17.000 Webseiten. Ziel der Angriffe waren die Details so vieler Kreditkarten wie irgend möglich.
Cybersicherheitsforscher haben einen weiteren Supply-Chain-Angriff von Magecart Hackern auf mehr als 17.000 Webdomains identifiziert. Darunter Websites, die in den Top 2.000 des Alexa-Rankings geführt werden. Allerdings waren nicht alle erfolgreich.
Bei einem Supply Chain-Angriff jagen Angreifer nach unsicheren Netzprotokollen, ungeschützten Serverinfrastrukturen oder unsicheren Codierungsmethoden. Ziel ist es, die als vertrauenswürdig eingestufte Software bei der Erstellung oder dem Update mit Malware zu verseuchen.
Magecart schlägt wieder zu!
Magecart bezeichnet weder eine einzelne Gruppe von Hackern, noch eine bestimmte Malware. Dies ist ein Oberbegriff für Hacker-Gruppen und Einzelpersonen. Es ist also nicht unbedingt gesagt, dass alle Hacker nach demselben Muster vorgehen oder etwa gleich raffiniert sind. Ein neuer Bericht des Portals The Hacker News beschreibt einen neuen Angriff auf die Supply-Chain, bei der Hacker anstelle gezielter Angriffe diesmal auf das „Schrotflinten System“ setzten. Dabei geht es den Hackern mehr darum, eine große Anzahl an Websites auf einmal zu infizieren. Ziel ist eine große Reichweite, auf Genauigkeit legt man hingegen kaum Wert.
Schon vor fast zwei Monaten entdeckten Sicherheitsforscher von RiskIQ Angriffe auf die Supply-Chain. Es ging dabei um Kreditkartenbetrug bei mehreren webbasierten Anbietern wie AdMaxim, CloudCMS und Picreel. Bei einer kontinuierlichen Überwachung der Aktivitäten stellten die Forscher dann fest, dass der tatsächliche Umfang dieser Kampagne viel größer war, als bisher angenommen.
Magecart Hacker suchen gezielt nach falsch konfigurierten Amazon S3 Buckets
Laut den Forschern scannt diese Gruppe von Magecart-Angreifern bereits seit Beginn der Kampagne kontinuierlich das Internet nach falsch konfigurierten Amazon S3-Buckets. Die als S3-Bucket benannten Cloud-Speicher von Amazon ermöglichen es jedem Nutzer, die darin enthaltenen Dateien anzuzeigen und zu bearbeiten. In diese „Buckets“ injizierten die Cyberkriminellen dann ihren digitalen Karten-Skimming-Code am Ende von jeder gefundenen JavaScript-Datei. „Obwohl die Angreifer viel Erfolg damit hatten, ihren Skimmer-Code auf Tausende von Websites zu verbreiten, haben sie das Targeting zugunsten der Reichweite geopfert„, sagten die Forscher zu The Hacker News.
Die Hacker schießen Pfeile ins Dunkle
Die Hacker konnten nicht immer wissen, ob die überschriebenen Javascript-Dateien von einer Website oder einem Projekt verwendet werden. Das ist dann vergleichbar damit einen Pfeil ins Dunkle zu schießen und zu hoffen, dass man trotzdem trifft. Auch sieht es so aus, als ob viele der infizierten JavaScript-Dateien nicht Teil der Zahlungsseite waren. Die Zahlungsseite ist in der Regel der beste Ort, um die die Kreditkartendaten der Nutzer stehlen können, um sie dann an einen von den Hackern kontrollierten Server zu senden. „Die Hacker haben diese Technik genutzt, um eine möglichst große Anzahl an Webseiten zu infizieren. Viele der kompromittierten Skripte haben dann aber nicht auf den Zahlungsseiten funktioniert„, sagen die Forscher.
„Die Einfachheit des Angriffes, die nur aus der Suche nach fehlerhaften S3-Buckets besteht, zeigt, dass es sich schon lohnt, wenn nur ein Bruchteil ihrer Code-Manipulationen Zahlungsdaten zurückgibt.“ Die Forscher zogen folgendes Fazit: „Bei der enormen Menge an infizierten Webseiten werden sie auf jeden Fall Gewinn machen und einen erheblichen Return on Investment haben.„
Magecart machte im vergangenen Jahr Schlagzeilen, nachdem Kreditkarten-Hacker Angriffe gegen internationale Unternehmen wie British Airways, Ticketmaster und Newegg durchgeführt hatten.
Beitragsbild stevepb, thx! (Pixabay Lizenz)
Tarnkappe.info