Onderzoekers vonden verschillende MageCart Web Skimmers Op Heroku Cloud Platform

Onderzoekers van Malwarebytes gerapporteerd over het vinden van een aantal MageCart web skimmers op de Heroku cloud-platform, dat eigendom is van Salesforce.

iknitially, de naam MageCart werd toegewezen aan een hack groep, dat was de eerste web skimmers op websites te gebruiken om bankkaart gegevens te stelen. Echter, Deze aanpak bleek zo succesvol dat de groep al snel vele navolgers te zijn, en de naam MageCart werd een veelgebruikte term, zoals nu het geeft een klasse van dergelijke aanvallen.

Addtionally, indien in 2018 RiskIQ onderzoekers geïdentificeerd 12 dergelijke groepen, Nu, volgens IBM, er zijn al wat betreft 38 van hen.

Deze week, Malwarebytes experts aangekondigd dat ze in één keer meerdere MageCart web skimmers op de Heroku cloud-gebaseerde PaaS platform hebben ontdekt.

“De gevonden skimmers werden gebruikt in actieve kwaadaardige campagnes, en de hackers achter deze regeling niet alleen gebruikt Heroku om hun infrastructuur te plaatsen en leveren skimmers te doelsites, maar ook een dienst voor het opslaan van gestolen kaart informatie”, – Said Malwarebytes vertegenwoordigers.

Onderzoekers vinden vier vrije Heroku accounts die gehost scripts voor vier van derden verkopers:

  • Stark-gorge-44782.herokuapp[.]Com werd gebruikt tegen correcttoes[.]met;
  • ancient-savanne-86049[.]Herokuapp[.]Com / configration.js werd gebruikt tegen panafoto[.]met;
  • pure-peak-91770[.]Herokuapp[.]Com / intregration.js werd gebruikt tegen alashancashmere[.]met;
  • vloeistof-kreupelhout-51318[.]Herokuapp[.]Com / configuration.js werd gebruikt tegen amapur[.]van.

Natuurlijk, in aanvulling op het opzetten van Heroku accounts, het inzetten van skimmer code en data systemen voor het verzamelen, deze regeling ook vereist afbreuk te doen aan de meest gewenste sites, maar tot nu toe hebben de onderzoekers niet vastgesteld hoe ze werden gehackt (hoewel sommige sites hadden ongepatchte webapplicaties).

Lees ook: Deskundigen een verband gevonden tussen Carbanak en één van de groepen MageCart

Aanvallers geïnjecteerd een regel code op gehackte sites. De embedded JavaScript, die werd gehost op Heroku, volgden de huidige pagina en ontdekte een Base64 gecodeerde string “Y2hlY2tvdXQ =” – Dit betekent “checkout”, Dat is, "een bestelling plaatsen".

“Toen de string werd ontdekt, kwaadaardige JavaScript laadde de iframe, waarbij de betaalkaartgegevens gewonnen, en gaf het (in Base64 formaat) aan de Heroku rekening. An-iframe op basis skimmer werkte als een overlay die verscheen op de top van een echte betaling vorm “,- zeggen onderzoekers van Malwarebytes

De onderzoekers vonden een aantal web skimmers op Heroku tegelijk. In alle gevallen, de namen van de scripts werden ingedeeld volgens een schema, en ze verdiende geld in de laatste week. Dit alles geeft aan dat dit ook werk van een hack groep, of aanvallers gebruikten dezelfde broncode. Het lijkt erop dat de aanvallers hun activiteiten gelanceerd in afwachting van Cyber ​​Monday en de komende vakantie verkoop seizoen.

Malwarebytes experts er rekening mee dat het gebruik van Heroku is niet de eerste dergelijke precedent. Zo, Eerder, experts al ontdekt Magecart skimmers op GitHub (april 2019) en op AWS S3 (juni- 2019).

Polina Lisovskaja

Ik werk al jaren als marketingmanager en zoek graag naar interessante onderwerpen voor jou

Laat een antwoord achter

Terug naar boven knop