연구진은 여러 MageCart 웹 스키머에 Heroku가 클라우드 플랫폼 발견

Malwarebytes 연구원 보고 세일즈 포스가 소유 Heroku가 클라우드 플랫폼에서 여러 MageCart 웹 스키머를 찾는 방법에 대한.

나는nitially, 이름 MageCart은 하나 개의 해킹 그룹에 할당 된, 이는 은행 카드 데이터를 훔치기 위해 웹 사이트에 웹 스키머를 사용하는 첫번째이었다. 하나, 이 방법은 그룹이 곧 수많은 모방을 한 것으로 매우 성공적으로 밝혀졌다, 그리고 이름 MageCart는 일반적으로 사용되는 용어가되었다, 현재로는 이러한 공격의 클래스를 나타냅니다.

Addtionally, 의 경우 2018 RiskIQ 연구자들은 확인 12 같은 그룹, 지금, IBM에 따른, 이미이 있습니다 약 38 그들의.

이번 주, Malwarebytes 전문가들은 한 번에 Heroku가 클라우드 기반 PaaS를 플랫폼에서 여러 MageCart 웹 스키머를 발견했다고 발표했다.

“발견 된 스키머는 활성 악성 캠페인에 사용 된, 이 기법 뒤에 해커뿐만 아니라 인프라를 배치하고 대상 사이트에 스키머를 제공하는 Heroku가 사용, 또한 "상점 도난 카드 정보 서비스를 사용, – 말했다 Malwarebytes 대표.

연구진은 네 개의 무료 Heroku가 네 타사 판매자에 대한 그 호스팅 스크립트를 차지 발견:

  • 스탁 - 협곡 - 44782.herokuapp[.]컴 correcttoes에 대해 사용[.]와;
  • 고대 - 사바나 - 86049[.]Herokuapp[.]컴 / configration.js는 panafoto에 대해 사용[.]와;
  • 순수 피크-91770[.]Herokuapp[.]컴 / intregration.js는 alashancashmere에 대해 사용[.]와;
  • 액체 관목-51318[.]Herokuapp[.]컴 / configuration.js는 amapur에 대해 사용[.]의.

당연하지, Heroku가 계정을 설정 외에, 스키머 코드와 데이터 수집 시스템을 구축, 이 방식은 또한 가장 타겟이 사이트를 손상 요구, 하지만 지금까지 연구자들은 해킹 된 방법을 설립하지 않은 (일부 사이트는 패치되지 않은 웹 애플리케이션을 가지고 있지만,).

또한 읽기: 전문가들은 Carbanak과 MageCart 그룹 중 하나 사이의 연결을 발견

공격자는 해킹 사이트에 한 줄의 코드를 주입. 임베디드 자바 스크립트, 이는 Heroku가 호스팅되었습니다, "= Y2hlY2tvdXQ"현재 페이지를 추적하고 Base64로 인코딩 문자열 검출 – 이 수단 "체크 아웃", 그건, "주문".

"캐릭터가 감지되었을 때, 악성 자바 스크립트는 iframe을로드, 지불 카드 데이터를 훔쳐하는, 그것을 통과 (Base64로 형식) 에게 Heroku 계정에. iframe을 기반 스키머는 "실제 지불 양식의 상단에 등장 오버레이처럼 일,- Malwarebytes 연구원을 말한다

연구자들은 한 번에 Heroku가에 여러 웹 스키머 발견. 모든 경우에, 스크립트의 이름은 하나 개의 방식에 따라 할당 된, 그리고 그들은 모두 마지막 주에 돈을 벌었 다. 이 모든이 하나 개의 해킹 그룹 중 하나 일이 있음을 나타냅니다, 또는 공격자는 동일한 소스 코드를 사용. 공격자가 사이버 먼데이의 기대와 곧 휴가 판매 시즌에 자신의 작업을 시작 보인다.

Malwarebytes 전문가에게 Heroku의 사용이 최초의 선례가 아닙니다. 그래서, 이전, 전문가들은 이미 GitHub의에 Magecart 스키머를 발견 (4 월 2019) 과에 AWS S3 (유월 2019).

폴리나 리소프스카야

저는 몇 년 동안 마케팅 관리자로 일하고 있으며 흥미로운 주제를 찾는 것을 좋아합니다.

회신을 남겨주

맨 위로 돌아가기 버튼