Theo một nghiên cứu mới nhất, một làn sóng tấn công mạng nhằm vào các nhà bán lẻ chạy nền tảng thương mại điện tử Magento 1.x vào đầu tháng 9 này chỉ là do một nhóm duy nhất.
“Nhóm này đã thực hiện một số lượng lớn các cuộc tấn công Magecart đa dạng thường xâm nhập một số lượng lớn các trang web cùng một lúc thông qua các cuộc tấn công chuỗi cung ứng, chẳng hạn như Sự cố đường dây quảng cáohoặc thông qua việc sử dụng các khai thác như trong các thỏa hiệp Magento 1 vào tháng 9 “, RiskIQ cho biết trong một phân tích được phát hành hôm nay.
Gọi chung là Chải thô, các cuộc tấn công nhắm vào ít nhất 2.806 cửa hàng trực tuyến chạy Magento 1.x, đến cuối cuộc đời kể từ ngày 30 tháng 6 năm 2020.
Đưa chương trình e-skimmers vào các trang web mua sắm để lấy cắp chi tiết thẻ tín dụng là một phương thức hoạt động đã được thử nghiệm và thử nghiệm của Magecart, một tập đoàn gồm các nhóm hacker khác nhau nhắm vào các hệ thống giỏ hàng trực tuyến.
Những trình duyệt thẻ tín dụng ảo này, còn được gọi là tấn công hình thức, thường là mã JavaScript mà các nhà điều hành lén lút chèn vào trang web thương mại điện tử, thường là trên các trang thanh toán, với mục đích nắm bắt thông tin chi tiết thẻ của khách hàng trong thời gian thực và truyền nó đi tới máy chủ do kẻ tấn công điều khiển từ xa.
Nhưng trong vài tháng qua, các nhà khai thác Magecart đã tăng cường trong nỗ lực của họ để ẩn mã kẻ trộm thẻ bên trong siêu dữ liệu hình ảnh và thậm chí thực hiện Các cuộc tấn công đồng nhất IDN để trồng các trình duyệt web được giấu trong tệp biểu tượng yêu thích của trang web.
Cardbleed, được ghi lại lần đầu tiên bởi Sansec, hoạt động bằng cách sử dụng các miền cụ thể để tương tác với bảng quản trị Magento và sau đó tận dụng tính năng ‘Magento Connect’ để tải xuống và cài đặt một phần mềm độc hại có tên “mysql.php” sẽ tự động bị xóa sau khi mã skimmer được thêm vào “prototype.js.”
Giờ đây, theo RiskIQ, các cuộc tấn công mang tất cả các dấu hiệu của một nhóm duy nhất mà nó theo dõi là Magecart Group 12 dựa trên sự chồng chéo trong cơ sở hạ tầng và kỹ thuật qua các cuộc tấn công khác nhau bắt đầu với Adverline vào tháng 1 năm 2019 tới Người bán lại vé Thế vận hội trở lại vào tháng 2 năm 2020.
Hơn nữa, skimmer được sử dụng trong các thỏa hiệp là một biến thể của Kiến và Gián skimmer được quan sát lần đầu tiên vào tháng 8 năm 2019 – được đặt tên theo một hàm có nhãn “ant_cockcroach ()” và một biến “ant_check” được tìm thấy trong mã.
Điều thú vị là một trong những miền (myicons[.]net) được quan sát bởi các nhà nghiên cứu cũng liên kết nhóm với một chiến dịch khác vào tháng 5, nơi một tệp biểu tượng yêu thích Magento đã được sử dụng để ẩn skimmer trên các trang thanh toán và tải một hình thức thanh toán giả để lấy cắp thông tin bị bắt.
Nhưng ngay khi các miền độc hại được xác định đang bị gỡ xuống, Nhóm 12 đã rất thành thạo trong việc hoán đổi các miền mới để tiếp tục đọc lướt.
“Kể từ khi [Cardbleed] Các nhà nghiên cứu của RiskIQ cho biết, “những kẻ tấn công đã xáo trộn cơ sở hạ tầng của họ.” Họ chuyển sang tải skimmer từ ajaxcloudflare[.]com, cũng đã hoạt động từ tháng 5 và đã chuyển phần khai thác sang một miền đã đăng ký gần đây, consoler[.]trong.”
Nhà nghiên cứu mối đe dọa RiskIQ, Jordan Herman, cho biết nếu có bất cứ điều gì, các cuộc tấn công là một dấu hiệu khác cho thấy các tác nhân đe dọa tiếp tục đổi mới, chơi với các cách khác nhau để thực hiện đọc lướt và làm xáo trộn mã của chúng để tránh bị phát hiện.
Herman cho biết: “Động lực thúc đẩy cho nghiên cứu này là sự thỏa hiệp rộng rãi của Magento 1, đã hết hiệu lực vào tháng 6 này, các trang web thông qua một khai thác”. “Vì vậy, việc giảm thiểu cụ thể sẽ là nâng cấp lên Magento 2, mặc dù chi phí nâng cấp có thể bị cấm đối với các nhà cung cấp nhỏ hơn.”
“Cũng có một công ty tên là Mage One đang tiếp tục hỗ trợ và vá lỗi cho Magento 1. Họ phát hành một bản vá để giảm thiểu lỗ hổng cụ thể do nam diễn viên khai thác vào cuối tháng 10. Cuối cùng, cách tốt nhất để ngăn chặn các loại tấn công này là các cửa hàng thương mại điện tử có toàn bộ kho mã đang chạy trên trang web của họ để họ có thể xác định các phiên bản phần mềm không dùng nữa và bất kỳ lỗ hổng nào khác có thể dẫn đến một cuộc tấn công Magecart, “ông nói thêm .
