Digitalni skimmer pronađen na preko 7 000 internet radnji
Preko 7 300 veb stranica za elektronsku trgovinu zaraženi su MagentoCore.net skimmer-om u proteklih šest mjeseci. Ova kampanja predstavlja jedan od najuspješniji napada na veb stranice za elektronsku trgovinu u istoriji. Kampanje je još u toku i prosječno zarazi 50 novih radnji svaki dan.
Fizički skimmer je elektronski uređaj koji se koristi za krađu podataka sa platnih kartica. Nakon što ukradu podatke kriminalci najčešće kloniraju kreditne kartice kako bi ih koristili za podizanje novca sa bankomata ili kupovinu. Kriminalci ove uređaje postavljaju na bankomate ili na uređaje za plaćanje karticama. Snimak na kome kriminalci postavljaju skimmer na platni terminal možete pogledati ovdje, dok snimak na kome se vidi kako skimmer izgleda na bankomatu možete pogledati ovdje.
Pored fizičkih, skimmer-i postoje i u digitalnom domenu. Najčešće se radi o malicioznom javascript kodu koji se ubacuje u veb stranice kako bi ukrao informacije o kreditnim karticama.
Kriminalci su u ovoj kampanji ciljali online radnje koje koriste WooCommerce softver za online kupovinu na WordPress i Magento platformama. Inicijalni pristup je dobija korišćenjem bruteforce napada na administratorske naloge. Napadači su u nekim slučajevima mjesecima pokušavali česte kombinacije korisničkog imena i lozinki kako bi ostvarile pristup.
Nakon inicijalnog pristupa napadači bi u veb stranice postavili skimmer napisan u javascript-u i backdoor napisan u PHP-u pod imenom cron.php. Skimmer se krije u podrazumijevanim šablonima za kreiranje veb stranica ( template ), kao i u header-ima ili footer-ima za HTML stranice.
Lista pogođenih radnji uključuje i multimilionske kompanije tako da napadači neupitno zarađuju ogromne količine novca na ovoj kampanju. Prave žrtve na kraju su korisnici, čiji podaci bivaju ukradeni. Kriminalci koriste ove podatke kako bi ispraznili račune korisnika ili ih prodaju na forumima.
Iako napadači imaju desetine načina da monetarizuju svoje napade, ransomware, crypto-miner-i, ucijene, prodaja podataka i sl. krađa kartica i dalje predstavlja značajan postotak ekonomije sajber kriminala.
Trenutno nije moguće odrediti ko stoji iza ove kampanje. Istraživač pod imenom Willem de Groot koji je uradio analizu malvera tvrdi da se server za skupljanje podataka nalazi u Moskvi. On je dodao da sumnja na Magecart grupu, ali trenutno nema više dokaza.
De Groot savjetuje vlasnike veb stranica da koriste dobar antivirusni server i da povremeno reinstaliraju svoje platforme koristeći izvorni kod koji će preuzeti od proizvođača.
Izvor:threatpost.com
