Кардерские группы, из которых состоит Magecart, эффективно и настойчиво крадут данные клиентов и платежных карт с помощью скиммеров. Вот как они работают и что вы можете сделать, чтобы снизить риск.
Определение Magecart
Magecart - это консорциум злонамеренных групп хакеров, которые нацелены на системы онлайн-покупок, обычно на систему Magento, для кражи информации о платежных картах клиентов. Это известно как атака на цепочку поставок. Идея этих атак состоит в том, чтобы скомпрометировать стороннее программное обеспечение от VAR или системного интегратора или заразить производственный процесс без ведома ИТ.
Тележки для покупок являются привлекательными целями, потому что они собирают платежную информацию от клиентов: если ваше вредоносное ПО может подключиться к этому потоку данных, у вас есть готовый инструмент для сбора карт. Почти все сайты электронной коммерции, которые используют тележки для покупок, не проверяют должным образом код, который используется с этими сторонними компонентами - рецепт готового взлома.
Известно, что Magecart активен с 2016 года и весьма плодотворен. В своем анализе взлома Magecart в 2018 году RiskIQ заявила, что видит ежечасные предупреждения о веб-сайтах, скомпрометированных его кодом скиммера. Это принесло Magecart место в списке самых опасных людей в Интернете по версии журнала Wired в 2018 году.
Совсем недавно Magecart обвиняли в том, что он внедрил скрипты для снятия скимминга платежных карт на MyPillow.com и AmeriSleep.com. Другие атаки Magecart включают:
Как работает Magecart
Как правило, кардер Magecart заменяет фрагмент кода Javascript, либо изменяя исходный код Magento, либо перенаправляя корзину покупок с помощью инъекции на веб-сайт, на котором размещено вредоносное ПО. Исследователи выявили около 40 различных эксплойтов для внедрения кода. Единственный способ обнаружить это - построчно сравнить весь стек кода электронной торговли и посмотреть, что изменилось.
Один из умных способов для злоумышленников разместить свое вредоносное ПО (и, к сожалению, не ограничивается только атаками Magecart) - это загрузить свой код в неиспользуемый проект GitHub. Преступники пытаются завладеть проектом, а затем публикуют «новую» версию кода, содержащего вредоносное ПО. Это дает прямое преимущество в быстром вводе вредоносных программ в активное использование на тысячах веб-сайтов. Инструменты безопасности могут не сканировать код из GitHub, поэтому злоумышленники могут спрятаться у всех на виду и уйти со скомпрометированным проектом.
Согласно отчету RiskIQ, по крайней мере, во время взлома British Airways Magecart адаптировал атаку к конкретной системе. «Этот конкретный скиммер очень хорошо адаптирован к тому, как настроена платежная страница British Airways, что говорит нам о том, что злоумышленники тщательно продумали, как атаковать этот сайт, вместо того, чтобы слепо вводить обычный скиммер Magecart», - пишут авторы отчета.
Magecart показал, что готов развиваться дальше с помощью атаки на веб-сайт MyPillow. MyPillow быстро обнаружил и удалил исходное вредоносное ПО, но Magecart сохранил доступ к сайту, согласно другому отчету RiskIQ. Вторая атака изменила тактику. «Злоумышленники сыграли блестящую игру, когда во второй раз разместили скиммер на веб-сайте MyPillow, добавив новый тег сценария для LiveChat, который соответствует тегу сценария, обычно вставляемому сценариями LiveChat», - заявили исследователи RiskIQ. «Злоумышленники Magecart пошли еще дальше, проксировав стандартный скрипт, возвращенный реальной службой LiveChat, и добавили код скиммера под ним».
Как развивалась Magecart
В прошлом году аналитики RiskIQ и Flashpoint объединили усилия и опубликовали отчет, в котором анализируется код Magecart и его методы взлома. Они продолжают отслеживать как минимум шесть различных хакерских групп, которые активно разрабатывают версии вредоносного ПО, добавляя различные улучшения и уловки. Каждая группа имеет свою собственную отличительную сигнатуру кода и методы, чтобы исследователи могли их классифицировать. Это исследование выявило ряд улучшений в этом семействе вредоносных программ.
Методы смягчения и предотвращения атак на цепочку поставок
Хотя кардеры могут использовать изощренные методы для установки и скрытия скиммеров, владельцы веб-сайтов с ограниченными ресурсами не должны отчаиваться. В Интернете есть бесплатные сканеры веб-сайтов, которые могут помочь обнаружить подозрительные соединения, открываемые такими скриптами, как Magecart, и инструментами разработчика браузера, которые могут помочь проанализировать их содержимое.
Исследователи из Trustwave SpiderLabs опубликовали руководство с подробной информацией о том, как можно проводить такие расследования, а также список полезных инструментов, специально разработанных для обнаружения и устранения инфекций Magecart. Веб-технологии, такие как политика безопасности контента (CSP) и целостность субресурсов (SRI), также могут использоваться для защиты посетителей веб-сайта, поскольку их можно использовать для ограничения того, откуда загружаются скрипты, и для защиты их целостности.
Эти передовые методы помогут укрепить ваши сети и попытаться остановить Magecart и другие атаки на цепочки поставок.
Определение Magecart
Magecart - это консорциум злонамеренных групп хакеров, которые нацелены на системы онлайн-покупок, обычно на систему Magento, для кражи информации о платежных картах клиентов. Это известно как атака на цепочку поставок. Идея этих атак состоит в том, чтобы скомпрометировать стороннее программное обеспечение от VAR или системного интегратора или заразить производственный процесс без ведома ИТ.
Тележки для покупок являются привлекательными целями, потому что они собирают платежную информацию от клиентов: если ваше вредоносное ПО может подключиться к этому потоку данных, у вас есть готовый инструмент для сбора карт. Почти все сайты электронной коммерции, которые используют тележки для покупок, не проверяют должным образом код, который используется с этими сторонними компонентами - рецепт готового взлома.
Известно, что Magecart активен с 2016 года и весьма плодотворен. В своем анализе взлома Magecart в 2018 году RiskIQ заявила, что видит ежечасные предупреждения о веб-сайтах, скомпрометированных его кодом скиммера. Это принесло Magecart место в списке самых опасных людей в Интернете по версии журнала Wired в 2018 году.
Совсем недавно Magecart обвиняли в том, что он внедрил скрипты для снятия скимминга платежных карт на MyPillow.com и AmeriSleep.com. Другие атаки Magecart включают:
- Операции Ticketmaster в Великобритании (январь 2018 г.)
- British Airways (август 2018 г.)
- Магазин электроники NewEgg (сентябрь 2018 г.)
- Подтверждено покупателем (сентябрь 2018 г.)
- Сайт спортивных коллекций Topps (ноябрь 2018 г.)
- Интернет-магазин фан-товаров Atlanta Hawks (апрель 2019 г.)
- Сотни книжных магазинов в кампусе колледжа (апрель 2019 г.)
- Подписчики журнала Forbes (май 2019 г.)
Как работает Magecart
Как правило, кардер Magecart заменяет фрагмент кода Javascript, либо изменяя исходный код Magento, либо перенаправляя корзину покупок с помощью инъекции на веб-сайт, на котором размещено вредоносное ПО. Исследователи выявили около 40 различных эксплойтов для внедрения кода. Единственный способ обнаружить это - построчно сравнить весь стек кода электронной торговли и посмотреть, что изменилось.
Один из умных способов для злоумышленников разместить свое вредоносное ПО (и, к сожалению, не ограничивается только атаками Magecart) - это загрузить свой код в неиспользуемый проект GitHub. Преступники пытаются завладеть проектом, а затем публикуют «новую» версию кода, содержащего вредоносное ПО. Это дает прямое преимущество в быстром вводе вредоносных программ в активное использование на тысячах веб-сайтов. Инструменты безопасности могут не сканировать код из GitHub, поэтому злоумышленники могут спрятаться у всех на виду и уйти со скомпрометированным проектом.
Согласно отчету RiskIQ, по крайней мере, во время взлома British Airways Magecart адаптировал атаку к конкретной системе. «Этот конкретный скиммер очень хорошо адаптирован к тому, как настроена платежная страница British Airways, что говорит нам о том, что злоумышленники тщательно продумали, как атаковать этот сайт, вместо того, чтобы слепо вводить обычный скиммер Magecart», - пишут авторы отчета.
Magecart показал, что готов развиваться дальше с помощью атаки на веб-сайт MyPillow. MyPillow быстро обнаружил и удалил исходное вредоносное ПО, но Magecart сохранил доступ к сайту, согласно другому отчету RiskIQ. Вторая атака изменила тактику. «Злоумышленники сыграли блестящую игру, когда во второй раз разместили скиммер на веб-сайте MyPillow, добавив новый тег сценария для LiveChat, который соответствует тегу сценария, обычно вставляемому сценариями LiveChat», - заявили исследователи RiskIQ. «Злоумышленники Magecart пошли еще дальше, проксировав стандартный скрипт, возвращенный реальной службой LiveChat, и добавили код скиммера под ним».
Как развивалась Magecart
В прошлом году аналитики RiskIQ и Flashpoint объединили усилия и опубликовали отчет, в котором анализируется код Magecart и его методы взлома. Они продолжают отслеживать как минимум шесть различных хакерских групп, которые активно разрабатывают версии вредоносного ПО, добавляя различные улучшения и уловки. Каждая группа имеет свою собственную отличительную сигнатуру кода и методы, чтобы исследователи могли их классифицировать. Это исследование выявило ряд улучшений в этом семействе вредоносных программ.
- Выход за рамки Magento с новыми плагинами. Атака на веб-сайт, одобренный покупателем, была серьезной. Большая часть усилий Magecart была связана с компромиссом с тележкой для покупок Magento. В нем использовался подключаемый модуль оценки клиентов поставщика для оценки различных веб-сайтов, на которых затем отображается почетный знак. Исследователи обнаружили, что вредоносное ПО было в конечном итоге распространено на более чем 7000 сайтов электронной коммерции. После того, как исследователи определили источник заражения, Shopper Approved быстро приступил к удалению вредоносного ПО.
- Использование рекламных серверов. Второе направление по-прежнему атакует тележки для покупок, но использует новый метод заражения рекламных баннеров, так что рекламные серверы размещают код Magecart на веб-сервере. Когда пользователь просматривает рекламу в браузере, код загружается на его компьютер. Вредоносный код также может размещаться на взломанном сервере.
- Использование более целенаправленных и более сложных атак. Это свидетельствует об отказе от широкого распространения вредоносных программ и проведении времени с потенциальными жертвами для изучения их кодов и инфраструктуры. Именно это произошло с British Airways, когда хакеры смогли воспользоваться логическим потоком своих внутренних приложений. Исследователи смогли отследить 22 строки кода зараженного сценария, который имел дело со страницей информации о выдаче багажа British Airways, и пришли к выводу, что они наблюдали атаку XSS, которая скомпрометировала собственные серверы British Airways.
Magecart удалось украсть данные, которые не хранились на серверах, принадлежащих British Airways. Они обнаружили изменения из-за странного обстоятельства: последний раз, когда какой-либо из скриптов багажа был изменен до нарушения, был в декабре 2012 года.
Методы смягчения и предотвращения атак на цепочку поставок
Хотя кардеры могут использовать изощренные методы для установки и скрытия скиммеров, владельцы веб-сайтов с ограниченными ресурсами не должны отчаиваться. В Интернете есть бесплатные сканеры веб-сайтов, которые могут помочь обнаружить подозрительные соединения, открываемые такими скриптами, как Magecart, и инструментами разработчика браузера, которые могут помочь проанализировать их содержимое.
Исследователи из Trustwave SpiderLabs опубликовали руководство с подробной информацией о том, как можно проводить такие расследования, а также список полезных инструментов, специально разработанных для обнаружения и устранения инфекций Magecart. Веб-технологии, такие как политика безопасности контента (CSP) и целостность субресурсов (SRI), также могут использоваться для защиты посетителей веб-сайта, поскольку их можно использовать для ограничения того, откуда загружаются скрипты, и для защиты их целостности.
Эти передовые методы помогут укрепить ваши сети и попытаться остановить Magecart и другие атаки на цепочки поставок.
- Сначала подумайте об идентификации всех сторонних поставщиков электронной коммерции и интернет-рекламы. Вы можете потребовать от них проведения самооценки своего кода или других проверок.
- Реализация целостности subresource так , что модифицированные сценарии не загружаются без вашего разрешения. Это потребует согласованного обучения ваших команд DevOps и тщательной проверки кода для отслеживания этих скриптов.
- Разместите как можно больше сторонних скриптов на своих серверах, а не на серверах ваших поставщиков. Это легче сказать, чем сделать, учитывая, что средняя веб-страница электронной коммерции имеет десятки сторонних источников.
- Проверьте своего поставщика защиты конечных точек и определите, могут ли они остановить Magecart и другие сторонние атаки.
- Убедитесь, что ваша киберстраховка покрывает этот тип компромисса.
- Просмотрите и измените свои политики безопасности, чтобы включить в них такое же отношение к вашим подрядчикам и поставщикам, как если бы они были штатными сотрудниками, работающими непосредственно на вашу корпорацию. Это одна из причин, почему атаки цепочки поставок работают, потому что хакеры рассчитывают на невысокую безопасность, применяемую к этим работникам.
- Если вы используете WordPress, убедитесь, что вы обновились до версии 5.2, которая специально проверяет и пытается предотвратить атаки цепочки поставок, используемые в их библиотеке плагинов.
