Magecart aanval maakt 8,8 miljoen slachtoffers wereldwijd

in

Beveiligingsonderzoekers ontdekten een web-skimmingoperatie die wereldwijd meer dan 8,8 miljoen slachtoffers maakte. Sinds januari 2022 vielen de criminelen legitieme webshops aan, waarbij er in het afrekenproces malware wordt geïnjecteerd om zo creditcardgegevens te stelen.

Magecart

De campagne is een voorbeeld van een Magecart-aanval. Magecart verwijst naar een verzameling criminele groepen die kwaadaardige JavaScript-code injecteren in legitieme online winkels. De naam ontstond bij aanvallen op sites die op het Magento-platform waren gebouwd, maar de methoden zijn in de loop der tijd uitgebreid naar vele andere e-commercesystemen. Het team van Silent Push herleidde de operatie tot een domein, cdn-cookie.com, dat werd gehost op een zogenoemde bullet-proof hostingdienst die voorheen bekendstond als Stark Industries en nu onder Nederlandse eigenaar is omgedoopt tot THE[.]Hosting.

Analyse van de malware

Wanneer een klant een gecompromitteerde afrekenpagina bezoekt, wordt het geïnjecteerde script – vaak recorder.js of tab-gtm.js genoemd – in de browser uitgevoerd. Het controleert eerst het Document Object Model (DOM) op een element met de naam wpadminbar, een werkbalk die op WordPress-sites verschijnt wanneer een beheerder is aangemeld. Als de werkbalk wordt gedetecteerd, verwijdert het script zichzelf van de pagina en stopt het met uitvoeren, een techniek die is ontworpen om detectie door sitebeheerders te voorkomen.

De malware wordt geactiveerd wanneer het DOM van de pagina verandert, wat gebeurt zodra een gebruiker een actie op de site uitvoert. Vervolgens controleert het script of de gebruiker Stripe als betaalmethode heeft gekozen. Als Stripe is geselecteerd, zoekt het script naar de flag wc_cart_hash in de localStorage van de browser. Het mechanisme zorgt ervoor dat de gebruiker slechts één keer wordt getarget.

Wanneer de flag ontbreekt, vervangt het script het legitieme Stripe-formulier door een vervalst formulier dat identiek lijkt aan het echte. Het nepformulier verzamelt het de creditcardgegevens en contactgegevens en verstuurt deze het domein lasorie.com. Omdat het script de originele Stripe-velden verbergt, meldt de betalingsgateway bij het afrekenen een fout, waardoor het lijkt alsof de klant verkeerde informatie heeft ingevoerd. Als de gebruiker het opnieuw probeert wordt de malware niet opnieuw actief, zodat de betaling de tweede keer wel werkt en de gebruiker niets doorheeft.

Verspreiding

Wereldwijd zijn er meer dan 8,8 miljoen slachtoffers van deze online skimming. Webshop eigenaren kunnen hun klanten beschermen door te voorkomen dat hun website gehackt wordt door ervoor te zorgen dat hun website gehardened is, beveiligingsupdates op tijd uitgevoerd worden en de website op veiligheid getest is, bijvoorbeeld met een pentest.

Weten of jouw webshop veilig is? Neem contact met ons op. We helpen je graag!

Misschien ook iets voor u
De opmars van Cybercriminaliteit
Jolijn Knikman CEO CyberAntCyberAnt.comSubsidie voor webshops
Opnieuw malware aangetroffen in VS Code Extensies
Opnieuw malware aangetroffen in VS Code ExtensiesCyberAnt genomineerd: Best ICT Start Up of the Year 2018