Pesquisadores da Malwarebytes relatado sobre encontrar vários skimmers web MageCart na plataforma Heroku nuvem que é de propriedade da Salesforce.
Eunitially, o nome MageCart foi atribuído a um grupo corte, que foi o primeiro a usar skimmers web em sites para roubar dados de cartão de crédito. Contudo, esta abordagem acabou por ser tão bem sucedido que o grupo logo teve inúmeros imitadores, eo nome MageCart tornou-se um termo comumente usado, como agora indica uma classe de tais ataques.Addtionally, se em 2018 pesquisadores RiskIQ identificado 12 tais grupos, Agora, de acordo com IBM, já existem sobre 38 deles.
Esta semana, Malwarebytes especialistas anunciaram que logo descobriram vários skimmers MageCart web sobre a plataforma PaaS baseado em nuvem Heroku.
“Os skimmers encontrados foram usados em campanhas maliciosas ativos, e os hackers por trás desse esquema usado não somente Heroku para colocar sua infra-estrutura e entregar skimmers para sites de destino, mas também usou um serviço para armazenar roubado informações de cartão”, – representantes Disse Malwarebytes.
Os pesquisadores descobriram quatro Heroku livre contas que os scripts hospedados para quatro vendedores de terceiros:
- Stark-gorge-44782.herokuapp[.]Com foi utilizado contra correcttoes[.]com;
- ancient-savana-86049[.]Herokuapp[.]Com / configration.js foi usada contra panafoto[.]com;
- puro-pico-91770[.]Herokuapp[.]Com / intregration.js foi usada contra alashancashmere[.]com;
- líquido-arbustivas-51318[.]Herokuapp[.]Com / configuration.js foi usada contra amapur[.]de.
Claro, além de configurar contas de Heroku, implantação de sistemas de coleta de código e dados skimmer, este esquema também necessário comprometer os locais mais visados, mas até agora os investigadores não estabeleceram como eles foram cortados (Embora alguns sites tinha aplicações web não corrigidas).
Leia também: Os especialistas encontrada uma ligação entre Carbanak e um dos grupos MageCart
Atacantes injectada uma linha de código em locais invadidos. O JavaScript incorporado, que foi hospedado em Heroku, rastreado a página atual e detectou um Base64 codificado string “Y2hlY2tvdXQ =” – isso significa “check-out”, Isso é, "fazer um pedido".
“Quando foi detectada a string, malicioso JavaScript carregada iframe, que roubou os dados do cartão de pagamento, e passou-o (em formato Base64) para a conta Heroku. Um skimmer baseado em iframe trabalhou como uma sobreposição que apareceu no topo de uma forma de pagamento real “,- dizem pesquisadores da Malwarebytes
Os pesquisadores descobriram vários skimmers web em Heroku de uma só vez. Em todos os casos, os nomes dos scripts foram atribuídos de acordo com um esquema de, e todos eles ganhou dinheiro durante a última semana. Tudo isso indica que este seja obra de um grupo corte, ou os atacantes utilizado o mesmo código fonte. Parece que os atacantes lançaram suas operações em antecipação de Cyber segunda-feira e a próxima temporada de vendas de férias.
especialistas Malwarebytes note que o uso de Heroku não é a primeira tal precedente. assim, Anteriormente, especialistas já descobriram skimmers Magecart no GitHub (abril 2019) e na AWS S3 (Junho 2019).
