Salesforce's Heroku Magecart skimmers, oğurlanmış kartlara ev sahibliyi etmək üçün istifadə olunur

Salesforce's Heroku Magecart skimmers, oğurlanmış kartlara ev sahibliyi etmək üçün istifadə olunur

Bu həftə Salesforce'nın Heroku bulud tətbiq platformalarından kart skirm skriptlərini qəbul etmək və oğurlanmış ödəniş kartı məlumatlarını saxlamağa başlayarkən Magecart təhlükə aktyorları diqqət çəkdi.

Heroku, şirkətlərə və ayrı-ayrı inkişaf etdiricilərə veb tətbiqlərini sürətlə qurmaq və onların arxasında olan infrastrukturu idarə etməkdən çəkinmədən kömək etmək üçün hazırlanmış bir bulud platforması kimi bir xidmətdir (Paas).

Heroku'nun ev sahibliyi etdiyi Magecart skimmerlərinin bir çox nümunəsi Malwarebytes 'Təhdid Kəşfiyyatı qrupu tərəfindən tapıldı və əksəriyyəti bu həftənin əvvəlindən etibarən aktiv kampaniyalarda istifadə edildi.

Heroku'da tapılan Magecart yazıları, Malwarebytes tədqiqatçılarına görə dərhal hamısını ləğv edən Salesforce Abuse Operations komandasına bildirildi.

Panafotoda Heroku'nun ev sahibi skimmer tapıldı Panafotoda Heroku'nun ev sahibi skimmer tapıldı (Şəkil: Malwarebytes Laboratoriyaları)

Heroku istifadə və sui-istifadə etdi

Təhdid aktyorları, pulsuz hesabı qeydiyyata aldıqdan sonra platformaları skamyalar əməliyyatları üçün pulsuz veb hosting xidməti kimi istifadə etməyə imkan verən Heroku freemium modelindən faydalandılar.

Heroku'nun köməyi ilə asanlıqla bir şifrə sətirindən istifadə edərək e-ticarət saytları içərisinə enjekte edilmiş bir əsas skimmer modulu olan modul kartlı skimming veb tətbiqetmələrini asanlıqla qura bildilər.

"Məqsəd cari səhifəni izləmək və cari brauzer URL-də Base64 kodlanmış simli Y2hlY2tvdXQ = (yoxlama) olduqda ikinci bir elementi (zərərli kredit kartı iframe) yükləməkdir" deyə Təhdid Kəşfiyyatının Malwarebytes direktoru Jérôme Segura əlavə edir.

Zərərli veb tətbiqetmənin ödəniş formaları üzərində nümayiş etdirdiyi yaramaz iframe orijinallarla eynidir və müştərilərin kredit kartı məlumatlarını özləri olmadan və heç bir qırmızı bayraq qaldırmadan toplamaq üçün hazırlanmışdır.

Skimmer üst-üstə düşən iframe Skimmer üst-üstə düşən iframe (Şəkil: Malwarebytes Laboratoriyaları)

Bir istifadəçinin kart məlumatlarını uğurla yığdıqdan sonra oğurlanmış məlumatlar avtomatik olaraq kodlaşdırılmış formatda Heroku üzərindəki Magecart skimmer veb tətbiqinin saxlama sahəsinə göndərilir.

"Nəhayət, oğurlanmış məlumatlar təmizlənir, bundan sonra qurbanlar səhifəni yenidən yükləməyi tapşıraraq səhv mesajı alacaqlar" deyə Malwarebytes tədqiqatçıları tapdı. "Bu, formanın bu dəfə iframe olmadan düzgün şəkildə təkrarlanması lazımdır."

Bulud provayderləri, sevimli skimmer hosting seçimi

Magecart qrupları, eskiz hücumları adlandırılan səhifələrə zərərli JavaScript əsaslı skriptlər yeritməklə həssas elektron ticarət mağazalarından istifadə edirlər. Onların son məqsədi müştərilər tərəfindən təqdim olunan ödəniş məlumatlarını yığmaq və təcavüzkarların nəzarət etdiyi uzaq saytlara göndərməkdir.

Bu Magecart təhlükə aktyorlarının bulud xidmətlərindən sui-istifadə etdikləri ilk dəfə deyil. GitHub, aprel ayında aşkarlanan Malwarebytes-in də yüzlərlə güzəştli onlayn mağazada inyeksiya etdiyi kartları qarışdırma skriptlərini qəbul etmək üçün istifadə olunur.

İyun ayında Magecart hücumlarına ev sahibi skimmerlər vuruldu güzəştə getdi Amazon CloudFront CDN S3 kovalar rəsmi NBA.com saytında Washington Wizards səhifəsində.

Bir ay sonra 17000-dən çox domen səhv tənzimlənmədən sui-istifadə edən təcavüzkarlar tərəfindən ödəniş kartı skimizm kodu ilə yoluxdu Amazon RiskIQ tədqiqatçıları tərəfindən tapılan S3 kovalar.

Bu Sugerencia hücumların arxasında kiber cinayətkar qruplar ən azı 2010-cu ildən bəri aktivdir oktyabr ayından RiskIQ hesabatı, Və Magento ilə işləyən saytlara diqqət yetirdikləri bilinir, baxmayaraq ki, bu yaxınlarda da başlamışdılar OpenCart, PrismWeb və OSC ticarət mərkəzləri ilə işləyən mağazalara da yönəldilmişdir.

RiskIQ hesab edir ki, bu veb skimming əməliyyatları milyonlarla elektron ticarət müştərisini təsir göstərə bilər, cəmi göstərilən telemetriya məlumatları ilə 2, Magecart aşkarlanması 086.529 misal.