Forskere har fundet flere MageCart Web Forplove On Heroku Cloud Platform

Forskere ved Malwarebytes rapporteret om at finde flere MageCart web skummere på Heroku cloud-platform, der er ejet af Salesforce.

jegnitially, navnet MageCart blev tildelt en hack gruppe, som var den første til at bruge web skummere på hjemmesider for at stjæle bank kortdata. imidlertid, denne fremgangsmåde viste sig at være så stor en succes, at gruppen snart havde talrige efterlignere, og navnet MageCart blev et almindeligt anvendt udtryk, som nu indikerer en klasse af sådanne angreb.

Addtionally, hvis i 2018 RiskIQ forskere identificeret 12 sådanne grupper, Nu, ifølge IBM, Der er allerede om 38 af dem.

Denne uge, Malwarebytes eksperter meddelte, at de på én gang har opdaget flere MageCart web skummere på Heroku cloud-baserede PaaS-platform.

“De fundne skummere blev brugt i aktive ondsindede kampagner, og hackere bag denne ordning ikke kun brugt Heroku til at placere deres infrastruktur og levere forplove til målområder, men også brugt en service til butik stjålne kortoplysninger”, – repræsentanter Said Malwarebytes.

Forskerne fandt fire gratis Heroku konti, der var vært scripts til fire tredjeparts sælgere:

  • Stark-gorge-44782.herokuapp[.]Com blev brugt imod correcttoes[.]med;
  • gammel-savanne-86.049[.]Herokuapp[.]Dk / configration.js blev anvendt mod panafoto[.]med;
  • ren-peak-91770[.]Herokuapp[.]Dk / intregration.js blev anvendt mod alashancashmere[.]med;
  • væske-krat-51.318[.]Herokuapp[.]Dk / configuration.js blev anvendt mod amapur[.]af.

Selvfølgelig, ud over at oprette Heroku konti, implementering skimmer kode og data indsamlingssystemer, denne ordning kræves også kompromittere de mest målrettede steder, men hidtil har forskerne ikke godtgjort, hvorledes de blev hacket (selv om nogle steder havde unpatched web-applikationer).

Læs også: Eksperter fundet en forbindelse mellem Carbanak og en af ​​de MageCart grupper

Angribere injiceres én linje kode på hackede websites. Den indlejrede JavaScript, der var vært på Heroku, sporede den aktuelle side og opdaget en Base64 kodet streng ”Y2hlY2tvdXQ =” – dette betyder ”kassen”, Det er, "bestille".

”Da snoren blev opdaget, ondsindet JavaScript indlæst iframe, der stjal betaling kortdata, og passerede det (i Base64-format) til Heroku konto. En iframe-baserede skimmer arbejdede som et overlay, der dukkede op på toppen af ​​en reel betaling formular ”,- siger forskere fra Malwarebytes

Forskerne fandt flere web forplove på Heroku på én gang. I alle tilfælde, navnene på de scripts blev tildelt i henhold til en ordning, og de alle tjente penge i løbet af den sidste uge. Alt dette tyder på, at dette er enten arbejde på en hack gruppe, eller angriberne anvendte den samme kildekode. Det ser ud til, at angriberne lancerede deres operationer i forventning om Cyber ​​mandag og den kommende ferie salg sæson.

Malwarebytes eksperter opmærksom på, at brugen af ​​Heroku er ikke den første sådanne præcedens. Så, tidligere, eksperter allerede opdaget Magecart forplove på GitHub (April 2019) og på AWS S3 (juni 2019).

Polina Lisovskaya

Jeg har arbejdet som marketingchef i årevis nu og elsker at søge efter interessante emner for dig

Efterlad et Svar

Tilbage til toppen knap