Mutt
Professional
- Messages
- 1,458
- Reaction score
- 1,280
- Points
- 113
Исследователи IBM обнаружили, что новые скрипты Magecart предполагают запланированное внедрение рекламы через Wi-Fi и атаки на цепочки поставок.
Одна из групп веб-скимминга, действующих под эгидой Magecart, тестировала внедрение кода кражи платежных карт на веб-сайты через коммерческие маршрутизаторы, подобные тем, которые используются в отелях и аэропортах. Группа также нацелена на библиотеку JavaScript с открытым исходным кодом под названием Swiper, которая используется мобильными веб-сайтами и приложениями.
Исследователи безопасности из группы IBM X-Force Incident Response and Intelligence Services обнаружили, что похоже на тестовые сценарии скимминга, разработанные в начале этого года одной из самых плодовитых из дюжины или около того групп, отслеживаемых индустрией безопасности как Magecart. На сегодняшний день эти группы взломали тысячи веб-сайтов и внедрили вредоносный код, предназначенный для кражи платежных реквизитов, на свои страницы оформления заказа.
Среди жертв Magecart были такие известные бренды, как British Airways, TicketMaster и Newegg. Группы известны тем, что используют различные методы как для заражения веб-сайтов, так и для сокрытия своего вредоносного кода, внедренного на страницы, включая компрометацию законных сторонних сервисов, которые уже имеют скрипты Magecart, загруженные на веб-сайты.
Расследование X-Force началось с нескольких скриптов, найденных на VirusTotal, онлайн-сервисе сканирования файлов и URL-адресов и агрегаторе аналитики вредоносных программ от поставщиков и пользователей. Скрипты сильно похожи на вредоносный код, который в прошлом ассоциировался с группой, которая отслеживалась как Magecart Group 5 (MG5).
Уроки атаки SolarWinds по обеспечению безопасности цепочки поставок программного обеспечения
На основе этих исходных файлов исследователи отследили в общей сложности 17 скриптов, загруженных с апреля одним и тем же пользователем из России. Многие из скриптов похожи, но имеют модификации, предназначенные для обхода обнаружения антивирусов, предполагая, что их создатель использовал VirtusTotal для проверки эффективности своих изменений.
Внедрение рекламы через Wi-Fi
Один из скриптов скиммера, называемый test4.html, ссылается и основан на скрипте под названием advnads20.js, который в 2012 году был связан с внедрением мошеннической рекламы через точки доступа Wi-Fi в отелях. Сценарий содержит код для взаимодействия с маршрутизатором уровня 7 коммерческого уровня.
«Доступ к большому количеству связанных пользователей с очень высокой текучестью, как в случае аэропортов или отелей, является прибыльной концепцией для злоумышленников, стремящихся скомпрометировать платежные данные», - говорится в отчете команды X-Force . «Мы считаем, что MG5 стремится находить и заражать веб-ресурсы, загружаемые маршрутизаторами L7, своим вредоносным кодом, а также, возможно, внедрять вредоносную рекламу, на которую подписанные пользователи должны нажимать, чтобы в конечном итоге подключиться к Интернету».
Вредоносный скрипт предназначен для сбора информации со всех веб-форм, а не только со страниц оформления заказа. Это связано с тем, что компрометация маршрутизаторов Wi-Fi позволяет злоумышленникам украсть данные, когда пользователям сначала предлагается зарегистрироваться и заплатить за использование Интернета, а также позже, автоматически вводя скрипты скимминга на все веб-сайты, к которым пользователи получают доступ через эти устройства. В отличие от атак Magecart, предназначенных для одного веб-сайта или бренда, это всеобъемлющий тип компрометации.
Цепочка поставок атакует возможное намерение
Другой идентифицированный файл, называемый test3.html, представляет собой сценарий инжектора, предназначенный для загрузки ресурсов с внешних URL-адресов на взломанную веб-страницу. Один из URL-адресов, на который он ссылается, указывает на законную библиотеку JavaScript под названием Swiper, что указывает на намерение запустить атаку цепочки поставок с помощью этого сценария.
Swiper - популярная библиотека с открытым исходным кодом, которая может сделать веб-сайты, предназначенные для доступа с настольных компьютеров, совместимыми с просмотром с мобильных устройств. Его также можно интегрировать в собственные и мобильные веб-приложения. По статистике, им пользуются более 280 000 веб-сайтов, большинство из них из США и Китая.
Нацеливание на сторонние скрипты, загружаемые на легитимные веб-сайты, согласуется с принципами работы MG5, которые наблюдались до сих пор. Например, TicketMaster, одна из громких жертв MG5, была взломана через SociaPlus, службу веб-аналитики. Группа также взломала SAS Net Reviews, сервис проверенных отзывов, используемый сайтами электронной коммерции.
«Этот сценарий с участием цепочки поставок технологий, в данном случае заражения Swiper, согласуется с историческими методами MG5 по нацеливанию на сторонние платформы, которые дадут группе широкий доступ к многочисленным жертвам с помощью одного компромисса», - заявили исследователи X-Force.
Команда X-Force советует владельцам веб-сайтов избегать стороннего кода с известными уязвимостями, использовать черные списки расширений и внедрять проверки целостности кода и файлов, особенно для загружаемых извне файлов JavaScript. Чтобы защитить своих пользователей от инъекций «злоумышленник в середине», подобных тем, которые выполняются через взломанные маршрутизаторы, операторы сайтов могут развернуть строгие политики безопасности контента (CSP), чтобы предотвратить загрузку браузерами несанкционированных ресурсов.
Одна из групп веб-скимминга, действующих под эгидой Magecart, тестировала внедрение кода кражи платежных карт на веб-сайты через коммерческие маршрутизаторы, подобные тем, которые используются в отелях и аэропортах. Группа также нацелена на библиотеку JavaScript с открытым исходным кодом под названием Swiper, которая используется мобильными веб-сайтами и приложениями.
Исследователи безопасности из группы IBM X-Force Incident Response and Intelligence Services обнаружили, что похоже на тестовые сценарии скимминга, разработанные в начале этого года одной из самых плодовитых из дюжины или около того групп, отслеживаемых индустрией безопасности как Magecart. На сегодняшний день эти группы взломали тысячи веб-сайтов и внедрили вредоносный код, предназначенный для кражи платежных реквизитов, на свои страницы оформления заказа.
Среди жертв Magecart были такие известные бренды, как British Airways, TicketMaster и Newegg. Группы известны тем, что используют различные методы как для заражения веб-сайтов, так и для сокрытия своего вредоносного кода, внедренного на страницы, включая компрометацию законных сторонних сервисов, которые уже имеют скрипты Magecart, загруженные на веб-сайты.
Расследование X-Force началось с нескольких скриптов, найденных на VirusTotal, онлайн-сервисе сканирования файлов и URL-адресов и агрегаторе аналитики вредоносных программ от поставщиков и пользователей. Скрипты сильно похожи на вредоносный код, который в прошлом ассоциировался с группой, которая отслеживалась как Magecart Group 5 (MG5).
Уроки атаки SolarWinds по обеспечению безопасности цепочки поставок программного обеспечения
На основе этих исходных файлов исследователи отследили в общей сложности 17 скриптов, загруженных с апреля одним и тем же пользователем из России. Многие из скриптов похожи, но имеют модификации, предназначенные для обхода обнаружения антивирусов, предполагая, что их создатель использовал VirtusTotal для проверки эффективности своих изменений.
Внедрение рекламы через Wi-Fi
Один из скриптов скиммера, называемый test4.html, ссылается и основан на скрипте под названием advnads20.js, который в 2012 году был связан с внедрением мошеннической рекламы через точки доступа Wi-Fi в отелях. Сценарий содержит код для взаимодействия с маршрутизатором уровня 7 коммерческого уровня.
«Доступ к большому количеству связанных пользователей с очень высокой текучестью, как в случае аэропортов или отелей, является прибыльной концепцией для злоумышленников, стремящихся скомпрометировать платежные данные», - говорится в отчете команды X-Force . «Мы считаем, что MG5 стремится находить и заражать веб-ресурсы, загружаемые маршрутизаторами L7, своим вредоносным кодом, а также, возможно, внедрять вредоносную рекламу, на которую подписанные пользователи должны нажимать, чтобы в конечном итоге подключиться к Интернету».
Вредоносный скрипт предназначен для сбора информации со всех веб-форм, а не только со страниц оформления заказа. Это связано с тем, что компрометация маршрутизаторов Wi-Fi позволяет злоумышленникам украсть данные, когда пользователям сначала предлагается зарегистрироваться и заплатить за использование Интернета, а также позже, автоматически вводя скрипты скимминга на все веб-сайты, к которым пользователи получают доступ через эти устройства. В отличие от атак Magecart, предназначенных для одного веб-сайта или бренда, это всеобъемлющий тип компрометации.
Цепочка поставок атакует возможное намерение
Другой идентифицированный файл, называемый test3.html, представляет собой сценарий инжектора, предназначенный для загрузки ресурсов с внешних URL-адресов на взломанную веб-страницу. Один из URL-адресов, на который он ссылается, указывает на законную библиотеку JavaScript под названием Swiper, что указывает на намерение запустить атаку цепочки поставок с помощью этого сценария.
Swiper - популярная библиотека с открытым исходным кодом, которая может сделать веб-сайты, предназначенные для доступа с настольных компьютеров, совместимыми с просмотром с мобильных устройств. Его также можно интегрировать в собственные и мобильные веб-приложения. По статистике, им пользуются более 280 000 веб-сайтов, большинство из них из США и Китая.
Нацеливание на сторонние скрипты, загружаемые на легитимные веб-сайты, согласуется с принципами работы MG5, которые наблюдались до сих пор. Например, TicketMaster, одна из громких жертв MG5, была взломана через SociaPlus, службу веб-аналитики. Группа также взломала SAS Net Reviews, сервис проверенных отзывов, используемый сайтами электронной коммерции.
«Этот сценарий с участием цепочки поставок технологий, в данном случае заражения Swiper, согласуется с историческими методами MG5 по нацеливанию на сторонние платформы, которые дадут группе широкий доступ к многочисленным жертвам с помощью одного компромисса», - заявили исследователи X-Force.
Команда X-Force советует владельцам веб-сайтов избегать стороннего кода с известными уязвимостями, использовать черные списки расширений и внедрять проверки целостности кода и файлов, особенно для загружаемых извне файлов JavaScript. Чтобы защитить своих пользователей от инъекций «злоумышленник в середине», подобных тем, которые выполняются через взломанные маршрутизаторы, операторы сайтов могут развернуть строгие политики безопасности контента (CSP), чтобы предотвратить загрузку браузерами несанкционированных ресурсов.
