Magecart, notoryczna grupa cyberprzestępców znana ze swojej biegłości w kradzieży wrażliwych danych ze stron handlu elektronicznego, ujawniła przebiegły schemat wykorzystujący pozornie nieszkodliwy element Internetu – stronę błędu 404. Ta innowacyjna taktyka, odkryta przez Akamai Security Intelligence Group, jest jednym z trzech wariantów stosowanych przez Magecart i polega na ukrywaniu złośliwego kodu w cyfrowej otchłani 404 stron błędów w celu potajemnego wykradania informacji o kartach kredytowych klientów.
W jaki sposób strony 404 stały się placem zabaw cyberprzestępcy?
W tym cyberataku zorganizowanym przez grupę Magecart hakerzy manipulują stroną błędu 404 witryny internetowej — stroną wyświetlaną, gdy strona nie istnieje lub zawiera uszkodzony link. Ukrywają złośliwy kod na tej pozornie nieszkodliwej stronie, aby wykraść informacje o karcie kredytowej niczego niepodejrzewającym odwiedzającym. Ukryty kod przedstawia użytkownikom fałszywy formularz, zachęcając ich do wprowadzenia wrażliwych danych karty kredytowej. Te skradzione dane są następnie potajemnie przesyłane hakerom pod przykrywką niewinnych żądań obrazów. Innowacyjne podejście sprawia, że wykrywanie jest wyzwaniem, co podkreśla potrzebę solidnych środków cyberbezpieczeństwa w celu ochrony transakcji online i informacji o użytkownikach.
Przyjrzyjmy się szczegółom, jak faktycznie działa ten hack polegający na przeglądaniu kart Magecart, który wykorzystuje strony błędów 404:
- Wybór celu: Pierwszym krokiem hakerów Magecart jest identyfikacja celów, do których zaliczają się przede wszystkim witryny e-commerce zbudowane na popularnych platformach, takich jak Magento i WooCommerce. Niektóre ofiary tej kampanii to prominentne organizacje z sektora spożywczego i handlu detalicznego.
- Ukrywanie złośliwego kodu: Po wybraniu celu hakerzy stosują innowacyjną technikę. Manipulują stroną błędu 404 witryny, czyli stroną, którą widzą odwiedzający, próbując uzyskać dostęp do strony internetowej, która nie istnieje, została przeniesiona lub zawiera martwy link.
- Ukrywanie się na widoku: Zamiast wstawiać swój złośliwy kod bezpośrednio do kodu witryny, aktorzy Magecart ukrywają go na stronie błędu 404. Ta taktyka jest szczególnie sprytna, ponieważ nie była widziana w poprzednich kampaniach Magecart. W ten sposób zyskują nowy sposób na uniknięcie wykrycia.
- Ładowarka skimmerowa: Ładowarka skimmerowa jest krytycznym elementem ataku. Może przybierać różne formy, np. pojawiać się jako fragment kodu Meta Pixel lub ukrywać się w istniejących skryptach wbudowanych na zaatakowanej stronie internetowej kasy.
- Pobieranie nieistniejących zasobów: Program ładujący inicjuje żądanie pobrania do ścieżki względnej o nazwie „ikony”. Ta ścieżka nie istnieje w docelowej witrynie, co powoduje błąd „404 Nie znaleziono”. Na pierwszy rzut oka może się to wydawać niewinną pomyłką lub nieaktywnym skimmerem.
- Ukryte w komentarzach HTML: Jednak po bliższym przyjrzeniu się program ładujący zawiera dopasowanie wyrażenia regularnego, które wyszukuje określony ciąg w kodzie HTML strony błędu 404. Kiedy znajdzie ten ciąg, ujawnia połączony ciąg zakodowany w formacie base64, sprytnie ukryty w komentarzu HTML.
- Ujawniono złośliwy JavaScript: Ten ciąg zakodowany w formacie Base64 po zdekodowaniu ujawnia skimmer JavaScript, który ma pozostać ukryty na wszystkich stronach błędów 404.
- Ukryta eksfiltracja danych: Gdy skimmer jest aktywny, przedstawia odwiedzającym witrynę fałszywy formularz. Ten zwodniczy formularz zachęca użytkowników do wprowadzenia poufnych informacji, w tym numeru karty kredytowej, daty jej ważności i kodu zabezpieczającego. Bez wiedzy ofiary w momencie wprowadzenia tych danych pojawia się fałszywy błąd „przekroczenia limitu czasu sesji”.
- Eksfiltracja danych: W tle wszystkie skradzione informacje są kodowane w formacie Base64 i wysyłane do atakującego za pośrednictwem adresu URL żądania obrazu, zawierającego ciąg znaków jako parametr zapytania. To zwodnicze podejście maskuje eksfiltrację danych jako pozornie nieszkodliwe zdarzenie polegające na pobraniu obrazu, co utrudnia identyfikację narzędzi monitorujących ruch sieciowy.
- Skradzione informacje: Jednak po odszyfrowaniu ciągu base64 osoba atakująca uzyskuje dostęp do danych osobowych i danych karty kredytowej, co może prowadzić do kradzieży tożsamości i strat finansowych dla ofiar.
Ten wyrafinowany atak uwydatnia ewoluującą taktykę hakerów Magecart, którzy stale znajdują nowe sposoby na ukrycie swojego szkodliwego kodu i naruszenie bezpieczeństwa sklepów internetowych. Podkreśla potrzebę wzmożonej czujności w zakresie ochrony informacji szczególnie chronionych oraz konieczność wprowadzenia solidnych środków cyberbezpieczeństwa w celu ochrony zarówno przedsiębiorstw, jak i konsumentów w coraz bardziej cyfrowym świecie.
Aby uzyskać bardziej szczegółowe informacje na ten temat, przeczytaj urzędnika raport.
Autor wyróżnionego obrazu: Erika Mcleana/Unsplash
Source: Hakerzy zaczynają wykorzystywać strony błędów 404 do kradzieży kart kredytowych
