Μια νέα επίθεση Magecart παρεμβαίνει στις σελίδες σφάλματος 404 των sites ηλεκτρονικών καταστημάτων και κρύβει κακόβουλο κώδικα που έχει σχεδιαστεί για να κλέψει τα προσωπικά στοιχεία και τα στοιχεία των καρτών των πελατών.
Αυτή η τεχνική αποτελεί μία από τις τρεις παραλλαγές που παρατηρούν οι ερευνητές της Ομάδας Πληροφοριών Ασφάλειας της Akamai.
Η εταιρεία Akamai αναφέρει ότι η επίθεση επικεντρώνεται σε ιστότοπους Magento και WooCommerce, με ορισμένα θύματα να συνδέονται με γνωστές εταιρείες στους τομείς των τροφίμων και του λιανεμπορίου.
Κατάχρηση των σελίδων σφάλματος 404
Όλα τα sites προβάλλουν μια σελίδα “σφάλμα 404“, όταν οι επισκέπτες προσπαθούν να αποκτήσουν πρόσβαση σε μια ιστοσελίδα που δεν υπάρχει, έχει μετακινηθεί ή έχει έναν “σπασμένο” σύνδεσμο.
Σε αυτή την καμπάνια, οι επιτιθέμενοι αξιοποιούν την προεπιλεγμένη σελίδα ‘404 Not Found’ για να κρύψουν και να φορτώσουν το κακόβουλο πρόγραμμα κλοπής στοιχείων καρτών. Πρόκειται για έναν νέο τρόπο μόλυνσης, που δεν έχουμε συναντήσει ξανά μέχρι τώρα. Αυτό δείχνει για άλλη μια φορά, ότι οι hackers εξελίσσουν συνεχώς τις μεθόδους τους για να εκτελούν τις κακόβουλες δραστηριότητές τους, χωρίς να γίνονται αντιληπτοί.
Δείτε επίσης: Balada Injector attacks: 17.000 WordPress sites παραβιάστηκαν
Το skimmer loader είτε μεταμφιέζεται ως Meta Pixel code snippet είτε κρύβεται μέσα σε τυχαία inline scripts, που ήδη υπάρχουν στην παραβιασμένη ιστοσελίδα του ταμείου.
Το loader ξεκινά ένα fetch request σε ένα σχετικό path με το όνομα ‘icons‘, αλλά καθώς αυτό το path δεν υπάρχει στο website, καταλήγουμε σε μια σελίδα “404 Not Found” error.
Σύμφωνα με τους ερευνητές της Akamai, το loader περιέχει ένα expression match που αναζητούσε ένα συγκεκριμένο string στο επιστρεφόμενο HTML της σελίδας 404. Κατά τον εντοπισμό της συμβολοσειράς στη σελίδα, η Akamai βρήκε ένα base64-encoded string, κρυμμένο σε ένα σχόλιο. Η αποκωδικοποίηση αυτής της συμβολοσειράς αποκάλυψε το JavaScript skimmer, το οποίο κρύβεται στις σελίδες σφάλματος 404 των ηλεκτρονικών καταστημάτων.
“Προσομοιώσαμε πρόσθετα αιτήματα σε ανύπαρκτα paths και όλα επέστρεψαν την ίδια σελίδα σφάλματος 404, που περιείχε το σχόλιο με τον κακόβουλο κώδικα“, εξηγεί η Akamai.
“Αυτοί οι έλεγχοι επιβεβαιώνουν ότι ο εισβολέας άλλαξε με επιτυχία την προεπιλεγμένη σελίδα σφάλματος για ολόκληρο τον ιστότοπο και απέκρυψε τον κακόβουλο κώδικα μέσα σε αυτό!“.
Επειδή το request υποβάλλεται σε first-party path, τα περισσότερα εργαλεία ασφαλείας που παρακολουθούν ύποπτα αιτήματα δικτύου στη σελίδα ολοκλήρωσης αγοράς, θα το παραβλέψουν.
Δείτε επίσης: Citrix NetScaler: Χάκερς κλέβουν διαπιστευτήρια από τις σελίδες σύνδεσής του
Κλοπή στοιχείων καρτών
Ο κώδικας skimmer εμφανίζει μια ψεύτικη φόρμα, την οποία πρέπει να συμπληρώσουν οι επισκέπτες του ιστότοπου. Σε αυτή τη φόρμα, πρέπει να προσθέσουν στοιχεία, όπως τον αριμθό της πιστωτικής τους κάρτας, την ημερομηνίας λήξης της και τον κωδικό ασφαλείας.
Μετά την εισαγωγή των στοιχείων, το θύμα λαμβάνει ένα ψεύτικο μήνυμα “λήξης συνεδρίας“.
Οι πληροφορίες αποστέλλονται στους επιτιθέμενους κωδικοποιημένες.
Η κατάχρηση των σελίδων σφάλματος 404, που εντοπίστηκε σε αυτή την εκστρατεία, δείχνει τις εξελισσόμενες τακτικές και την ευελιξία των επιτιθέμενων, οι οποίοι καθιστούν όλο και πιο δύσκολο για τους διαχειριστές ιστότοπων να εντοπίσουν τον κακόβουλο κώδικα σε παραβιασμένες ιστοσελίδες.
Ηλεκτρονικό εμπόριο και hackers
Ο συναγερμός έχει σημάνει στον κόσμο του ηλεκτρονικού εμπορίου καθώς όλο και περισσότερα καταστήματα πέφτουν θύματα των επιθέσεων Magecart. Ωστόσο, υπάρχουν βήματα που μπορούν να γίνουν για την ανίχνευση και πρόληψη των επιθέσεων αυτών.
Εντοπισμός Επιθέσεων Magecart
Πολλές φορές, οι επιθέσεις Magecart μοιάζουν εξαιρετικά περίπλοκες. Και η αλήθεια είναι ότι με τη χρήση νέων τεχνικών (όπως κατάχρηση των σελίδων 404), η ανίχνευσή τους γίνεται δύσκολη. Ωστόσο, ελέγχοντας κάποια στοιχεία, όπως αλλαγές στην εμφάνιση ή την απόκριση της ιστοσελίδας σας, μπορείτε αντιληφθείτε ότι υπάρχει κάτι ύποπτο.
Δείτε επίσης: Ισραήλ: Η εφαρμογή RedAlert δέχθηκε παραβίαση από χάκερς
Πρόληψη Επιθέσεων Magecart
Αν θέλουμε να αποτρέψουμε τις επιθέσεις Magecart, θα πρέπει να εφαρμόσουμε πολυεπίπεδες στρατηγικές για την ασφάλεια των ιστοσελίδων, παρακολούθηση της δραστηριότητας της σελίδας, έλεγχο και επαλήθευση των εξωτερικών προμηθευτών, καθώς και εφαρμογή των πλέον πρόσφατων προδιαγραφών ασφάλειας.
- Πολυεπίπεδη ασφάλεια ιστοσελίδων: Αυτό σημαίνει πως η αμυντική σας γραμμή δεν θα πρέπει να βασίζεται μόνο σε ένα σημείο. Αντίθετα, οι τεχνικές πρέπει να εκτείνονται σε όλα τα επίπεδα των υποδομών της ιστοσελίδας, προστατεύοντας τους servers, τα συστήματα διαχείρισης περιεχομένου (CMS), και όλα τα ευαίσθητα στοιχεία.
- Παρακολούθηση δραστηριότητας σελίδας: Εμπλουτίστε την διαδικασία ανίχνευσης, επιτηρώντας διαρκώς την σελιδοποίηση και τις προσπάθειες εκτέλεσης κώδικα.
- Έλεγχος και επαλήθευση των εξωτερικών προμηθευτών: Μην παίρνετε τίποτα ως δεδομένο. Ελέγξτε και επαληθεύστε την ασφάλεια τρίτων παρόχων με τους οποίους συνεργάζεστε.
- Εφαρμογή των πλέον πρόσφατων προδιαγραφών ασφάλειας: Εφαρμόστε τις προδιαγραφές ασφάλειας κατά των επιθέσεων Magecart και ενημερώστε τις αν αλλάζουν.
Τα ζητήματα ασφάλειας του ηλεκτρονικού εμπορίου δεν είναι φυσικά ένα απλό τεχνικό παζλ. Είναι μια συνεχιζόμενη πρόκληση που απαιτεί όλα τα εργαλεία, τις τεχνικές και τις στρατηγικές που διαθέτουμε. Αλλά με επιμονή, κατανόηση των κινδύνων και λήψη προστατευτικών μέτρων, μπορείτε να σταθείτε απέναντι στους hackers και να κρατήσετε ασφαλείς τις πληροφορίες των πελατών σας.
Πηγή: www.bleepingcomputer.com
