Magecart Incontra gli hacker, un persistente gruppo di skimmer con carte di credito di cui non hai mai sentito parlare

Mercoledì, 14 Novembre 2018

2591 Visite

Ci sono stati pochi gruppi di hacker che sono stati responsabili di altrettanti titoli quest'anno come Magecart.

Potresti non sapere il nome, ma probabilmente non ti sei perso il loro lavoro: attacchi mirati di carte di credito, hit di Ticketmaster e British Airways, così come il gigante dell'elettronica di consumo Newegg e probabilmente molti altri siti che sono stati silenziosamente hackerati per graffiare il consumatore dati della carta di credito al momento del pagamento.

Nessuno conosce questi attacchi meglio di Yonathan Klijnsma, un ricercatore di minacce presso la società di sicurezza RiskIQ, che ha monitorato Magecart per più di un anno.

In un nuovo rapporto pubblicato con la società di intelligence di rischio Flashpoint, Klijnsma ha esposto il funzionamento interno degli hacker - un gruppo di gruppi, piuttosto che una singola entità - tutti con diversi modus operandi e obiettivi, che ha descritto come "un mondo criminale fiorente che ha operato nell'ombra per anni ".

"Magecart sta solo diventando un nome familiare", ha detto il ricercatore.

Il principale tra le scoperte di Klijnsma è che ci sono almeno sei gruppi distinti che operano truffe di Magecart skimming, ognuno con il proprio approccio. Il Gruppo 1 è stato avviato nel 2014 puntando migliaia di siti con attacchi e server monouso per ospitare il malware e archiviare i dati raccolti, mentre Group 2 e Group 3 hanno ampliato la loro portata e affinato i loro attacchi per agganciare il malware più ampia gamma di fornitori di pagamento. Il gruppo 4 ha preso la maggior parte delle vittime - più di 3.000 siti hackerati - con il suo approccio a sparpagliamento, afferrando il maggior numero possibile di carte dal maggior numero possibile di siti.

I gruppi sono andati dove sono i soldi - irrompendo in siti Web usando vulnerabilità note dei server, iniettando codice di pagamento con carta di credito e sifonando numeri di carte di credito, nomi e codici di sicurezza su un server controllato da un aggressore, spesso per mesi alla volta.

Se vengono catturati, passano alla loro prossima vittima.

Le vittime di più alto profilo di Magecart sono state il lavoro del Gruppo 5, che ha effettuato attacchi alla supply chain colpendo fornitori di codice di terze parti - come le chat di servizio clienti - installati su migliaia di siti e portando con sé il malware del gruppo, espandendo il portata del gruppo su vasta scala. Era il Gruppo 5 che RiskIQ incolpava di aver preso di mira molti dei siti globali di Ticketmaster. Il gruppo 6, nel frattempo, ha anche iniziato attacchi altamente selettivi che hanno riguardato solo i principali attori, tra cui British Airways e Newegg.

Tra la mezza dozzina di gruppi che RiskIQ ha identificato finora, sono stati colpiti almeno 6.400 siti.

E questo è solo l'inizio.

Una volta che arriva un flusso costante di numeri di carte di credito, gli hacker vendono i dati, spesso sul web oscuro, rendendo più facile nascondere le loro attività dalla legge.

Klijnsma ha avvertito che ci saranno molti altri gruppi di carte e molti altri siti Web interessati: siti più grandi e meno conosciuti che devono ancora essere scoperti.

Caso in questione: all'inizio dell'anno, il noto rivenditore di elettronica del New Jersey TechRabbit ha rivelato una violazione dei dati. Come tanti altri siti, è passato in gran parte inosservato - tranne, a ben vedere, la breccia aveva tutti i tratti distintivi di Magecart. Willem de Groot, un ricercatore di sicurezza citato nel rapporto Magecart, ha confermato su Twitter - e verificato in modo indipendente da TechCrunch - che il sito è stato colpito di nuovo mesi dopo.

Abbiamo contattato l'amministratore delegato della compagnia, Joel Lerner, per informarlo del furto della carta che si rompeva. "Chi è TechCruch [sic] e cosa sai di TechRabbit?", Ha detto.

Dopo diverse e-mail avanti e indietro, incluso uno screenshot del malware sulle pagine di checkout del sito, ha espresso preoccupazione ma ha smesso di rispondere.

Klijnsma ha ammesso che, sebbene la sua ricerca abbia fornito un'intuizione senza precedenti sul funzionamento dei gruppi di Magecart, "ciò non significa che saremo in grado di individuare ogni istanza e ogni attacco", ha affermato. Probabilmente ci sono molti altri siti interessati dal malware di skimming delle carte, che non è stato ancora rilevato. "Vorremmo fare appello all'industria e a tutti coloro che incontrano questi attacchi per aiutarli a smuoverlo", ha affermato.

Per combattere la minaccia di Magecart, RiskIQ e altre società di sicurezza informatica possono gestire i domini di sinkhole associati all'infrastruttura di Magecart, estraendoli offline e disattivandoli.

Klijnsma ha detto che richiede un approccio a più livelli - come i proprietari di siti Web che migliorano la loro sicurezza con patch di sicurezza e server di segregazione. "Non lo prendi con un solo controllo di sicurezza, ma piuttosto li impili e cerchi di catturarlo in almeno uno di questi passaggi", ha detto.

"Fondamentalmente ogni vettore è un gioco tra questi gruppi con alcuni gruppi che utilizzano tutti loro per raggiungere il loro obiettivo di violare un bersaglio", ha detto.

Rimani aggiornato seguici su Telegram

Facebook Twitter LinkedIn Xing VK Pinterest Reddit Pocket

Come ti senti con questo post?

Tag:

Ci sono stati pochi gruppi di hacker che sono stati responsabili di altrettanti titoli quest 'anno sapere il nome ti sei perso il loro lavoro attacchi mirati di carte di credito di Ticketmaster e

Informazioni sull'autore

Druskus

(411 Punti)

Risultati

Proprietario del sito Impero Web e Community Builder Italia, professionista IT Manager esperto in tecnologia avanzata, curioso del mondo opensource, personaggio di spicco nel mondo joomla sviluppatore di file di lingua italiana per note estensioni di social networking e forum, nel 2011 e 2012 grazie alle sue attività e passione che svolge nel mondo opensource viene pubblicato su due libri uno della casa editrice Hoeply chiamato "Fare Business di Joomla" scritto dal Prof. Roberto Chimenti e l'altro in formato Kindle chiamato "Costruisci un sito social network con Joomla! e Community Builder" grazie a queste pubblicazioni ed anche per la sua preparazione viene definito come un valido punto di riferimento italiano ed uno dei massimi esperti in materia. Appassionato della cultura nipponica Anime e Manga che segue con dedizione, portandolo a recensire con passione e cerca di carpire le nuove tecnologie utilizzate per la realizzazione delle opere.