Die Forscher fanden mehrere MageCart Web Skimmer Auf Heroku Cloud Platform

Forscher an Malwarebytes berichtet über mehr MageCart Web-Skimmer auf der Heroku Cloud-Plattform zu finden, die von Salesforce gehört.

ichnitially, der Name MageCart wurde zu einem Hack-Gruppe zugeordnet, das war das erste Web-Skimmer auf Websites verwenden, Bankkartendaten zu stehlen. jedoch, Dieser Ansatz erwies sich als so erfolgreich, dass die Gruppe bald zahlreiche Nachahmer hatte, und der Name MageCart wurde ein häufig verwendeter Begriff, wie jetzt gibt es eine Klasse von solchen Angriffen.

Addtionally, wenn in 2018 RiskIQ Forscher identifizierten 12 solche Gruppen, Jetzt, gemäß IBM, Es gibt bereits Über 38 von ihnen.

Diese Woche, Malwarebytes Experten angekündigt, dass sie auf einmal mehr MageCart Web-Skimmer auf der Heroku Cloud-basierte PaaS-Plattform entdeckt.

“Die gefundenen Skimmer wurden in aktiven bösartigen Kampagnen, und der Hacker hinter dieser Regelung nicht nur verwendet, Heroku ihre Infrastruktur zu setzen und liefern Skimmer an Zielstellen, sondern verwendet auch einen Service zum Speichern von gestohlenen Kartendaten“, – Said Vertreter Malwarebytes.

Forscher fanden heraus, vier freie Heroku, dass gehosteten Skripte für vier Dritt Verkäufer-Konten:

  • stark-Schlucht-44782.herokuapp[.]Com wurde gegen correcttoes verwendet[.]mit;
  • ancient-Savanne-86049[.]Herokuapp[.]Com / configration.js wurde gegen panafoto verwendet[.]mit;
  • pure-Spitze-91770[.]Herokuapp[.]Com / intregration.js wurde gegen alashancashmere verwendet[.]mit;
  • flüssigkeits scrubland-51318[.]Herokuapp[.]Com / configuration.js wurde gegen amapur verwendet[.]von.

Na sicher, zusätzlich zu der Einrichtung Heroku Konten, Bereitstellung von Skimmer-Code und Datenerfassungssysteme, diese Regelung auch erforderlich, die relevantesten Websites zu beeinträchtigen, aber bisher haben die Forscher nicht festgestellt, wie sie gehackt wurden (obwohl einige Websites hatte ungepatchte Webanwendungen).

lesen Sie auch: Experten fanden eine Verbindung zwischen Carbanak und einer der MageCart Gruppen

Angreifer injizierten eine Codezeile auf gehackte Websites. Der eingebettete JavaScript, die am Heroku gehostet, die aktuelle Seite verfolgt und erfasst ein Base64 Zeichenfolge codiert „Y2hlY2tvdXQ =“ – diese Mittel „zur Kasse“, Das ist, "eine Bestellung aufgeben".

„Als der Zeichenfolge erkannt, bösartiger JavaScript geladen, um den iframe, die stahlen die Zahlungskartendaten, und gab es (in Base64-Format) auf das Konto Heroku. Ein iframe-basierte Skimmer arbeitete wie eine Überlagerung, die auf einem echten Zahlungsform erschienen „,- sagen Forscher von Malwarebytes

Forscher fanden heraus, mehrere Web-Skimmer auf Heroku auf einmal. Auf alle Fälle, die Namen der Skripte wurden nach einem Schema zugewiesen, und sie alle Geld während der letzten Woche verdient. All dies zeigt, dass dies entweder Arbeit einer Hack-Gruppe, oder die Angreifer verwendet den gleichen Quellcode. Es scheint, dass die Angreifer starteten ihre Operationen im Vorgriff auf Cyber ​​Montag und die bevorstehenden Urlaub Verkaufssaison.

Malwarebytes Experten beachten Sie, dass die Verwendung von Heroku ist nicht der erste derartige Präzedenzfall. So, Vorher, Experten entdeckten bereits Magecart Skimmer auf GitHub (April 2019) und auf AWS S3 (Juni 2019).

Polina Lisovskaya

Ich arbeite seit Jahren als Marketingleiterin und liebe es, für dich nach interessanten Themen zu suchen

Hinterlasse eine Antwort

Schaltfläche "Zurück zum Anfang"