By | September 12, 2018

מומחי אבטחה-RiskIQ דיווח כי ההאקרים מאחורי לפרצת British Airways לאחרונה כנופיית פשע MageCart.

MageCart יש פועלת מאז לפחות 2015 והצליח להתפשר הרבה אתרי מסחר אלקטרוני לגנוב תשלום כרטיס ונתונים רגישים אחרים.

החבורה סייבר פועלת באמצעות הזרקת script מקפה של אתרי אינטרנט היעד לשאוב נתונים כרטיס תשלום, ברגע באתר זה נפגע, זה מוסיף המניח פיסת Javascript המוטמע על תבנית HTML.

קובץ ה-script זדוני נקרא MagentoCore והוא זה רשומות הקשות מלקוחות ושליחתם אל שרת נשלט על ידי ההאקרים.

בדרך כלל, התוקפים לנסות להתפשר תכונות של ספקים חיצוניים אשר יכול לשחרר אותם לגשת מספר גדול של אתרי אינטרנט.

המומחים ב- RiskIQ טוענים כי הקבוצה MageCart ביצעו התקפת יישוב על British Airways באמצעות גירסה מותאמת אישית של קובץ ה-script להישאר תחת מסווה.

להתקפה ספציפי הפושעים משמש תשתית ייעודית נגד חברת התעופה.

“ההתקפה הזאת היא גישה פשוטה אך ממוקדות לעומת מה שראינו בעבר Magecart גזרן אשר תפס טפסים ללא אבחנה. גזרן המסוים הזה מאוד חזר עמוד התשלום של בריטיש איירוויס להגדרת, מספרת לנו כי התוקפים לשקול בזהירות איך למקד את האתר הזה במקום בצורה עיוורת הזרקת מקפה רגיל של Magecart-“ הברית ניתוח RiskIQ.

התשתית בשימוש התקפה זו הוקם רק עם British Airways בראש,”בכוונה כמטרה קבצי script אלה מתמזגים עם נורמלי התשלום עיבוד כדי למנוע זיהוי. ראינו הוכחה לכך baways.com שם של תחום, כמו גם בפנייה לשרת את השחרור”

לאחר ניתוח כל התסריטים נטען על ידי האתר, מצאו החוקרים אבטחה כמה שינויים בספרייה Modernizr JavaScript, איפה ההאקרים להוסיף כמה שורות של קוד בתחתית כדי להימנע גורמת לבעיות לקובץ ה-script. ספריית JavaScript שונתה ב-21 באוגוסט 20:49 GMT.

קובץ ה-script הזדוני היה טעון מטען טענה בדף מידע באתר האינטרנט של British Airways. הקוד אשר נוספה על-ידי הפושעים תן Modernizr לשלוח פרטי התשלום מהלקוח ישירות לשרת של ההאקרים.

קובץ ה-script מותרת התוקף לגנוב נתונים ממשתמשים הן באתר והן יישום נייד.

הנתונים גנבו את British Airways נשלח בצורה של JSON בשרת מתארח על baways.com הדומה התחום לגיטימי בשימוש על ידי חברת התעופה.

ההאקרים לרכוש תעודת SSL Comodo כדי שלא לעורר חשד.

“התחום היה מתארח על 89.47.162.248 אשר ממוקם ברומניה, הוא, למעשה, חלק ספק VPS בשם Time4VPS מבוסס בליטא. השחקנים נטען גם את השרת עם תעודת SSL. מעניין, הם החליטו ללכת עם אישור בתשלום מ- Comodo במקום אישור LetsEncrypt חינם, עשוי לגרום לו להיראות כמו שרת לגיטימי.” הקבוצה RiskIQ אומרת.

נכון לעכשיו, עדיין לא ברור איך הכנופיה MageCart הצליח להחדיר את קוד זדוני באתר British Airways.

Leave a Reply

Your email address will not be published. Required fields are marked *