В начале июля британская авиакомпания British Airways получила штраф на 183 миллиона фунтов стерлингов. Штраф со стороны Управления комиссара по информации Великобритании (ICO) был выписан за нарушение данных, от которого в прошлом году пострадало около 500000 клиентов. Начнем с того, что никто не знал, кто стоял за той массовой кражей данных. Однако через несколько дней после того, как эта новость попала в заголовки СМИ, специалисты InfoSec начали говорить о группе кибер-злоумышленников под названием Magecart.
По данным RiskIQ, Magecart атакуют онлайн-компании как минимум с 2016 года. Они вставляли вредоносный код на веб-сайты этих компаний для кражи данных их клиентов в момент оформления заказа. Такая техника называется цифровой скимминг. Помимо British Airways, жертвами Magecart стали такие компании как Ticketmaster, Forbes и Amazon CloudFront.
Две массовых кампании Magecart
В начале июля исследователи в области информационной безопасности обнаружили крупную кампанию Magecart, от которой пострадало 962 веб-сайта в сфере электронной коммерции всего за 24 часа. Компания Sanguine Security, которая проверяет вредоносные программы на популярной платформе электронной коммерции Magento, назвала ее «крупнейшей автоматизированной кампанией на сегодняшний день».
Специалисты считают, что данной кампании могла способствовать уязвимость в Magento. Например, в марте на платформе была обнаружена уязвимость SQLi. Несмотря на то, что для ее исправления был выпущен патч, многие компании испытывают сложности при обновлении своих систем, а потому вполне вероятно, что огромное количество организаций просто не установили этот патч.
Затем, 10 июля была обнаружена другая массовая кампания, в которой кибер-преступники сумели добавить свой код Magecart на более чем 17000 доменов с помощью файлов JavaScript в некорректно сконфигурированных корзинах Amazon S3.
Кампания, которая началась в апреле, воспользовалась тем фактом, что многие сайты, использующие облачное хранилище Amazon, не защищают должным образом доступ к своим активам.
По данным RiskIQ, злоумышленники меняли все скрипты подряд без разбора: некоторые пострадавшие скрипты не были размещены на страницах с оплатой, а потому в таких случаях платежные данные не были украдены.
Йонатан Клийнсма из RiskIQ пояснил, что «как только злоумышленники нашли неправильно настроенную корзину, они сканируют ее в поисках любого файла JavaScript (с расширением.js). Затем они скачивают эти файлы JavaScript, добавляют в конец этих файлов свой код скимминга, а потом перезаписывают скрипт в корзину».
Magecart – опасность для электронной коммерции
Группа Magecart (а на самом деле, это головная структура для прикрытия нескольких подгрупп) использует многие современные и усовершенствованные сложные техники, чтобы как можно сложнее было обнаружить встраивание их кода.
Какой процедуре они следуют? При проведении одной комплексной атаки они зарегистрировали домен с подобным именем, как у жертвы. С этого домена они запустили свой скрипт на веб-сайт жертвы, смешав его с другими скриптами, которые уже существовали на том сайте. Чтобы не вызвать подозрений, они пошли так далеко, что даже получили SSL-сертификат для своего вредоносного домена. Группа использовала этот вредоносный скрипт для кражи персональных данных клиентов сайта.
Когда скрипт был обнаружен и удален, злоумышленникам все же удалось сохранить доступ к сайту. Они зарегистрировали домен с подобным именем, как у чатбота жертвы. Используя аналогичные техники, они продолжили атаку на данную компанию, украв еще больше персональных данных.
Опасности в цепочке поставок
Одна из причин, почему Magecart является столь опасной угрозой, связана с тем, что эта группа не просто напрямую атакует компании. Одной из тактик, которую группа использует все чаще и чаще, является атака на цепочку поставок – такого рода атаки в 2019 году становятся все более популярными среди кибер-преступников. Один из способов сделать это – установить свой код у поставщиков онлайн-рекламы, который потом будет интегрирован на том сайте, который они хотят атаковать. Таким образом, они могут проникнуть на сайты своих жертв совершенно незаметно.
Как защитить вашу компанию
Magecart использует широкий диапазон техник и векторов атаки, чтобы угрожать вашей компании. Вот почему так важно иметь полный контроль над всей вашей ИТ-сетью и всеми процессами, которые в ней происходят.
Panda Adaptive Defense осуществляет непрерывный мониторинг каждого процесса, выполняющегося в системе. Решение обнаруживает любой аномальный или подозрительный процесс, чтобы останавливать все угрозы прежде, чем они смогут проявить себя. В результате этого будет обнаружен любой подозрительный код.
Считается, что, по крайней мере, одна из массовых кампаний Magecart использовала уязвимость в веб-приложении. Чтобы сократить поверхность атаки, важно своевременно обновлять системы и приложения, которые используются вашей компанией. Чтобы сделать процессы обновления и применения патчей как можно более простыми, Panda Adaptive Defense имеет в своем составе отдельный модуль Panda Patch Management.
Поскольку электронная коммерция – это сектор, который постоянно растет, то мы, скорее всего, увидим новые атаки Magecart, которые будут атаковать компании, не имеющие адекватной защиты. Следовательно, обеспечение безопасности вашей компании, а также ваших клиентов и пользователей, становится еще более актуальной задачей, чем когда-либо ранее.
