Forskere ved Malwarebytes rapportert om å finne flere MageCart web skimmere på Heroku sky plattform som er eid av Salesforce.
Jegnitially, navnet MageCart ble tildelt en hack gruppe, som var den første til å bruke web-skimmere på nettsteder for å stjele kredittkortdata. derimot, denne tilnærmingen viste seg å være så vellykket at konsernet snart hadde mange etterlignere, og navnet MageCart ble et vanlig brukt begrep, så nå er det indikerer en klasse av slike angrep.Addtionally, hvis du er i 2018 RiskIQ forskere identifisert 12 slike grupper, Nå, i henhold til IBM, det er allerede handle om 38 av dem.
Denne uka, Malwarebytes eksperter annonsert at de samtidig har oppdaget flere MageCart web skimmere på Heroku cloud-baserte PaaS plattform.
“De fant skimmere ble brukt i aktive ondsinnede kampanjer, og hackere bak denne ordningen ikke bare brukes Heroku til å plassere sin infrastruktur og levere skimmere til målområder, men brukes også en tjeneste for å lagre stjålet kortinformasjon”, – Said Malwarebytes representanter.
Forskerne fant fire gratis Heroku står som vert skript for fire tredjeparts selgere:
- Stark-juvet-44782.herokuapp[.]Com ble brukt mot correcttoes[.]med;
- gamle-savanne-86049[.]Herokuapp[.]Com / configration.js ble brukt mot panafoto[.]med;
- ren-peak-91770[.]Herokuapp[.]Com / intregration.js ble brukt mot alashancashmere[.]med;
- væske-kratt-51318[.]Herokuapp[.]Com / configuration.js ble brukt mot amapur[.]av.
Selvfølgelig, i tillegg til å sette opp Heroku kontoer, distribusjon skimmer kode og data innsamlingssystemer, denne ordningen også nødvendig å kompromittere de mest målrettede nettsteder, men så langt har forskerne ikke etablert hvordan de ble hacket (selv om noen områder hadde unpatched webapplikasjoner).
Les også: Eksperter har funnet en forbindelse mellom Carbanak og en av gruppene MageCart
Angripere injisert en linje med kode på hackede nettsteder. Den innebygde Javascript, som ble arrangert på Heroku, spores gjeldende side og detektert en base64-kodet streng “Y2hlY2tvdXQ =” – Dette betyr “kassen”, Det er, “Plassere en ordre”.
“Når tråden ble detektert, ondsinnet Javascript lastet iframe, som stjal betalingskort data, og ga det (i Base64 format) til Heroku konto. En iframe-basert skimmer fungerte som et overlegg som dukket opp på toppen av en reell betaling skjema “,- sier forskere fra Malwarebytes
Forskerne fant flere web skimmere på Heroku på en gang. I alle tilfeller, navnene på de skriptene ble tildelt i henhold til en ordning, og de tjente penger i løpet av den siste uken. Alt dette tyder på at dette er enten arbeide for en hack gruppe, eller angriperne brukte den samme kildekoden. Det virker som angriperne lanserte sin virksomhet i påvente av Cyber mandag og den kommende ferie salg sesongen.
Malwarebytes eksperter oppmerksom på at bruk av Heroku er ikke den første slike presedens. Så, Tidligere, eksperter allerede oppdaget Magecart skimmere på GitHub (april 2019) og på AWS S3 (juni 2019).
