Kommentare zu folgendem Beitrag: Magecart Malware: Datenklau in über 960 Onlineshops
Hier einmal die Vorgehensweise der Magecart-Gruppe (inkl. Untergruppen) in einem slchen Fall…
Magecart Gruppe 12’s Angriffskette:
Im Gegensatz zu anderen Online-Skimmergruppen, die die Einkaufswagenplattformen ihrer Zielgruppe direkt gefährden, greifen die Magecart Gruppen 5 und 12 Drittanbieterdienste an, die von E-Commerce-Websites genutzt werden, indem sie Skimming-Code in die von ihnen bereitgestellten JavaScript-Bibliotheken einfügen. Dies ermöglicht es allen mit dem Skript eingebetteten Websites, den Skimming-Code zu laden. Die gezielte Nutzung von Diensten von Drittanbietern trägt ebenfalls dazu bei, die Reichweite zu erhöhen und mehr Daten zu stehlen.
Skimming Toolkit:
Magecart Group 12 verwendet ein Skimming-Toolkit, das zwei verschleierte Skripte verwendet. Das erste Skript ist hauptsächlich für die Anti-Reversierung gedacht, während das zweite Skript der Hauptdaten-Skimming-Code ist. Dazu gehört auch die Überprüfung der Codeintegrität, die erkennt, ob das Skript geändert wurde. Die Überprüfung erfolgt durch die Berechnung eines Hash-Wertes für den Skriptabschnitt und stoppt die Ausführung des Skripts, wenn es feststellt, dass es nicht mit dem ursprünglichen Hash übereinstimmt.
Das Skript bereinigt auch ständig die Konsolenmeldungen des Browser-Debuggers, um die Erkennung und Analyse zu verhindern. Ein Teil der Fingerabdruck-Routine beinhaltet die Überprüfung, ob das Skript auf einem mobilen Gerät ausgeführt wird (durch Überprüfung des Browser-Benutzer-Agenten) und ob es Handler gibt, die prüfen, ob der Browser-Debugger eingeschaltet ist. Die Fingerabdruck-Routinen werden durchgeführt, um zu bestätigen, dass die Browsersitzung von einem tatsächlichen Verbraucher stammt.
Das Überfliegen von Zahlungsdaten:
Das zweite Skript, der Haupt-Skimming-Code, prüft zunächst, ob sie auf einer Warenkorb-Website ausgeführt werden, indem es verwandte Zeichenketten in der URL wie „Checkout“, „Billing“ und „Purchase“ erkennt. Zu beachten sind auch die Zeichenketten „panier“, was auf Französisch „Korb“ und auf Deutsch „kasse“ oder „checkout“ bedeutet. Nachforschungen zeigen, dass die meisten unserer Erkennungen (Zugriff auf von der Magecart Group 12 kontrollierte Domains) in Frankreich erfolgten, mit einer spürbaren Aktivität in Deutschland.
Wenn es eine der angepeilten Zeichenketten in der URL erkennt, beginnt das Skript, das Skimming-Verhalten auszuführen. Sobald ein beliebiger Wert anstelle von leer in das Eingabeformular der Webseite eingegeben wird, kopiert das Skript sowohl den Formularnamen als auch die vom Benutzer eingegebenen Werte. Gestohlene Zahlungs- und Abrechnungsdaten werden in einem JavaScript LocalStorage mit dem Schlüsselnamen Cache gespeichert. Die kopierten Daten sind Base64-kodiert. Es generiert auch eine Zufallszahl zur Angabe einzelner Opfer, die es in LocalStorage mit dem Schlüsselnamen E-Tag reserviert. Ein JavaScript-Ereignis „unload“ wird ausgelöst, wenn der Benutzer die Zahlungswebsite schließt oder aktualisiert. Das Skript sendet dann die überflogenen Zahlungsdaten, die Zufallszahl (E-Tag) und die Domain der E-Commerce-Website über HTTP POST an einen Remote-Server, wobei Base64 zum gesamten Sendedatum kodiert.
Diese Angriffe zeigen erneut, wie wichtig es ist, die Infrastrukturen zu sichern, die für den Betrieb von Websites, Anwendungen oder Webanwendungen verwendet werden, insbesondere solche, die sensible Daten speichern und verwalten. Regelmäßige Patches und Updates von Software, Deaktivierung, Einschränkung oder Sicherung veralteter Komponenten oder Plugins von Drittanbietern sowie Stärkung von Anmeldeinformationen oder Authentifizierungsmechanismen. IT- und Sicherheitsteams sollten ihre Websites oder Anwendungen auch proaktiv auf Anzeichen von bösartigen Aktivitäten wie unbefugtem Zugriff und Veränderung, Datenexfiltration und Ausführung unbekannter Skripte überwachen.