Die Hackergruppen, aus denen sich Magecart zusammensetzt, sind effektiv und hartnäckig darin, Kunden- und Kreditkartendaten mithilfe von Skimmern zu stehlen. Hier erfahren Sie, wie diese funktionieren und was Sie tun können, um das Risiko eines Angriffs zu verringern. [...]
Was ist Magecart?
Magecart ist ein Konsortium von kriminellen Hackergruppen, die sich auf Online-Shopping-Cart-Systeme – meist das Magento-System – spezialisiert haben, um Kundendaten und Zahlungsinformationen zu stehlen. Dies wird auch als Angriff auf die Supply Chain bezeichnet. Die Idee hinter diesen Angriffen ist es, eine Drittanbieter-Software eines VAR oder eines Systemintegrators zu kompromittieren oder einen Industrieprozess ohne das Wissen der IT zu infizieren.
Warenkörbe sind attraktive Ziele, weil sie die Zahlungsinformationen ihrer Kunden erfassen: Falls Ihre Malware in diesen Datensatz eindringen kann, verfügen Sie über ein bereits vorgefertigtes Kartenerfassungs-Tool. Fast alle E-Commerce-Seiten, die Warenkörbe verwenden, überprüfen den Code, der in Verbindung mit diesen Drittanbieterprodukten verwendet wird, nicht ordnungsgemäß – fertig ist der Hackingangriff.
Magecart ist bekannt dafür, dass es seit 2016 aktiv und recht produktiv ist. In seiner Analyse eines Magecart Verstoßes aus dem Jahr 2018 berichtete RiskIQ, dass es stündliche Warnungen für Websites gesehen habe, die durch ihren Skimmercode beeinträchtigt würden. Das brachte Magecart einen Platz auf der Liste der gefährlichsten Personen im Internet im Jahr 2018 ein.
Vor kurzem wurde Magecart vorgeworfen, Skimming-Skripte für Zahlungskarten auf MyPillow.com und AmeriSleep.com platziert zu haben. Andere Magecart-Angriffe umfassen:
- Die britischen Aktivitäten von Ticketmaster (Januar 2018)
- British Airways (August 2018)
- NewEgg Elektronikhändler (September 2018)
- Shopper Approved (September 2018)
- Topps Sport Sammel-Website (November 2018)
- Atlanta Hawks Fanartikel Online-Shop (April 2019)
- Hunderte von College-Campus-Buchhandlungen (April 2019)
- Abonnenten des Forbes-Magazins (Mai 2019)
Wie Magecart funktioniert
Typischerweise ersetzt der Magecart -Hacker ein Stück Javascript-Code, entweder durch Ändern der Magento-Quelle oder durch Umleiten des Warenkorbs mit Hilfe einer Injektion auf eine Website, die die Malware hostet. Forscher konnten fast 40 verschiedene Exploits zur Codeeingabe identifizieren. Der einzige Weg, dies zu erkennen, ist, den gesamten E-Commerce-Code Stack Zeile für Zeile zu vergleichen und zu überprüfen, was sich verändert hat.
Eine clevere Möglichkeit für Angreifer, ihre Malware zu hosten (und das leider nicht nur auf Magecart-Angriffe beschränkt), ist das Hochladen ihres Codes in ein unbenutztes GitHub-Projekt. Die kriminellen Banden versuchen damit, das Projekt zu übernehmen und dann eine „neue“ Version des Codes zu veröffentlichen, der die entsprechende Malware enthält. Dies hat den direkten Nutzen, dass sie Malware in kürzester Zeit auf Tausenden von Websites aktiv einsetzen können. Sicherheits-Tools scannen den Code von GitHub eventuell nicht, so dass sich die Angreifer gut sichtbar verstecken und mit dem kompromittierten Projekt davonkommen können.
Zumindest beim Hack von British Airways hat Magecart den Angriff laut des RiskIQ-Berichts auf das jeweilige System zugeschnitten. „Dieser spezielle Skimmer war sehr darauf abgestimmt, wie die Bezahlseite von British Airways eingerichtet zu sein, was uns bestätigt, dass die Angreifer sorgfältig darüber nachgedacht haben, wie sie diese Seite angreifen können, anstatt blind den normalen Magecart Skimmer zu injizieren“, so die Autoren des Berichts.
Magecart hat gezeigt, dass es bereit ist, sich mit seinem Angriff auf die MyPillow-Website weiterzuentwickeln. MyPillow entdeckte und entfernte die ursprüngliche Malware zwar schnell, doch Magecart behielt weiterhin Zugriff auf die Website, so ein weiterer Bericht von RiskIQ. Bei einem zweiten Angriff änderte sich die Taktik. „Die Angreifer spielten ein brillantes Spiel, als sie zum zweiten Mal einen Skimmer auf der MyPillow-Website platzierten und ein neues Skript-Tag für den LiveChat hinzufügten, das einem Skript-Tag entsprach, das normalerweise von den LiveChat-Skripten eingefügt wird“, erklärten die Forscher von RiskIQ. „Die Hacker von Magecart gingen sogar noch weiter, indem sie das Standardskript, das vom echten LiveChat-Dienst zurückgesendet wurde, proxyten und den Skimmer-Code daran anfügten.“
Wie sich Magecart entwickelt hat
Analysten von RiskIQ und Flashpoint haben im vergangenen Jahr ihre Kräfte vereint und einen Bericht veröffentlicht, der den Code von Magecart und seine Kompromittierungsmethoden analysiert. Sie verfolgen weiterhin mindestens sechs verschiedene Hackergruppen, die aktiv Versionen der Malware entwickeln und verschiedene Verbesserungen und Tricks hinzufügen. Jede Gruppe hat ihre eigene unverwechselbare Codesignatur und Methoden, mit denen Forscher sie klassifizieren können. Diese Forschung hat eine Reihe von Verbesserungen in dieser Malware-Familie ergeben.
- Mit neuen Plug-Ins Bewegungen über Magento hinaus. Der Angriff auf die Website Shopper Approved war signifikant. Die meisten der Magecart Angriffe kompromittierten den Magento Warenkorb. Dieser nutzte das Kundenbewertungs-Plugin des Anbieters, um verschiedene Webseiten zu bewerten, die dann ein Ehrenabzeichen erhalten. Forscher fanden heraus, dass die Malware letztendlich auf mehr als 7.000 E-Commerce-Seiten eingesetzt wurde. Sobald die Forscher die Ursache der Infektion identifiziert hatten, reagierte Shopper Approved schnell, um die Malware zu entfernen.
- Die Verwendung von Ad-Servern. Eine zweite Ausrichtung ist immer noch der Angriff auf Warenkörbe, aber mit einer neuen Methode zur Infektion von Werbebannern, damit Ad-Server den Magecart Code in einem Webserver platzieren können. Sobald ein Benutzer die Anzeige in seinem Browser betrachtet, wird der Code auf seinen Computer heruntergeladen. Der Malware-Code kann auch von einem kompromittierten Server bereitgestellt werden.
- Gezieltere und ausgefeiltere Angriffe. Dies verdeutlicht, dass man sich von der weiten Verbreitung von Malware entfernt und Zeit mit potenziellen Opfern verbringt, um deren Kodierung und Infrastruktur zu studieren. Dies geschah auch bei British Airways, als sich Hacker in der Lage sahen, den logischen Ablauf der internen Anwendungen für sich zu nutzen. Die Forscher konnten 22 Zeilen Code eines infizierten Skripts verfolgen, der sich mit der British Airways Gepäckausgabeseite befasste, und kamen zu dem Schluss, dass sie einen XSS-Angriff vor sich hatten, der die eigenen Server der British Airways kompromittierte.
Magecart konnte Daten stehlen, die nicht auf den Servern von British Airways gespeichert waren. Sie fanden die Modifikationen aufgrund eines seltsamen Umstandes: Das letzte Mal, als eines der Gepäck-Skripte vor dem Verstoß geändert wurde, war im Dezember 2012.
Methoden zur Eindämmung und Prävention von Angriffen in der Supply Chain
Diese Best Practices helfen Ihnen, Ihre Netzwerke zu stärken und sollen versuchen, Magecart und andere Angriffe auf die Lieferkette zu stoppen.
- Denken Sie darüber nach, zuerst alle Ihre E-Commerce- und Online-Werbeverkäufer von Drittanbietern zu ermitteln. Sie können von ihnen verlangen, Eigenbewertungen ihres Codes oder andere Audits durchzuführen.
- Implementieren Sie die Subressourcenintegrität, so dass geänderte Skripte nicht ohne Ihre Zustimmung hochgeladen werden. Dies erfordert eine gezielte Schulung Ihrer Devops-Teams und eine gründliche Code-Review, um diese Skripte aufzuspüren.
- Hosten Sie so viele Skripte von Drittanbietern auf Ihren eigenen Servern wie möglich und nicht auf den Servern Ihrer Dienstleister. Das ist leichter gesagt als getan, da die durchschnittliche E-Commerce-Webseite Dutzende von Drittanbieter-Quellen hat.
- Überprüfen Sie Ihren Endpoint Protection Provider und entscheiden Sie, ob er Magecart und andere kompromittierende Angriffe Dritter stoppen kann.
- Stellen Sie sicher, dass Ihre Cyber-Versicherung diese Art von Kompromissen abdeckt.
- Überprüfen und überarbeiten Sie Ihre Sicherheitsrichtlinien, um die gleiche Behandlung Ihrer Vertragspartner und Dienstleister zu gewährleisten, als wären sie Vollzeitmitarbeiter, die direkt für Ihr Unternehmen arbeiten. Dies ist ein Grund, warum die Angriffe auf die Lieferkette funktionieren, denn die Hacker rechnen damit, dass die Sicherheitsmaßnahmen für diese Mitarbeiter nicht allzu gut sind.
- Wenn Sie WordPress verwenden, stellen Sie sicher, dass Sie auf v.5.2 aktualisieren, das speziell die Angriffe auf die Lieferkette in der gesamten Plugin-Bibliothek überprüft und zu verhindern versucht.
*David Strom schreibt und spricht über Sicherheits-, Netzwerk- und Kommunikationsthemen für CSO Online, Network World, Computerworld und andere Publikationen.
Be the first to comment