Magecart tarnt sich besser

Die Zahl der Magecart-Angriffe nimmt zwar ab, aber sie werden immer heimlicher, und Forscher weisen auf potenzielle serverseitige Schwachstellen bei der Verfolgung dieser Angriffe hin. Am 20. Juni erklärte der Malwarebytes-Forscher Jérôme Segura in einem Blog-Beitrag, dass die Zahl der Magecart-Angriffe zwar zurückgegangen zu sein scheint, jüngste Berichte jedoch darauf hindeuten, dass der Markt für gestohlene Kreditkartendaten immer noch lohnend ist – und eine neue Kampagne hat gezeigt, dass einige Operationen immer noch eine „ziemlich breite Infrastruktur“ betreiben.

Man hört nicht allzu oft von Magecart-Angriffen. In den letzten Jahren machten eher Angriffe auf zentrale Versorgungseinrichtungen und kritische Dienste, staatlich gesponserte Kampagnen, Ransomware, massive Datenschutzverletzungen und Störungen größeren Ausmaßes Schlagzeilen als die Probleme, die Magecart-Opfer heute häufig erleben.

Dies bedeutet jedoch nicht, dass das Problem verschwunden ist, und wir sollten nicht vergessen, dass nicht nur KMUs gefährdet sind: Große Marken sind in der Vergangenheit Opfer dieser Art von Cyberangriffen geworden, darunter British Airways, Newegg und Ticketmaster.

Magecart beschreibt Cyberangriffe, die auf die E-Commerce-Funktionen einer Website abzielen. Bei diesen Angriffen, die auch als Card-Skimming-Angriffe bekannt sind, nutzen Bedrohungsakteure häufig eine Schwachstelle im Backend-Content-Management-System einer Website oder in Abhängigkeiten von Drittanbietern aus und schleusen heimlich bösartigen JavaScript-Code ein.

Dieser Code, der in den Zahlungsabschnitt einer Website eingebettet ist, fängt dann die vom Kunden eingegebenen Kartendaten ab und sendet sie an einen vom Angreifer kontrollierten Server.

Ein am 9. Juni veröffentlichter Sansec-Bericht enthüllte eine neue Skimmer-Domain. Am 12. Juni twitterte ein anderer Forscher über einen mutmaßlich bösartigen Host und dessen Verbindung zu einem gehackten E-Commerce-Shop. Dies wurde dann von einem anderen Forscher bestätigt.

Malwarebytes hat die Berichte untersucht, und aufgrund der gleichen autonomen Systemnummer, die in beiden Fällen verwendet wurde, wurden die Domänen mit einer größeren Kampagne in Verbindung gebracht.

Die Cybersecurity-Forscher haben ihre Aufzeichnungen durchforstet und die jüngsten Magecart-Aktivitäten mit einer Kampagne aus dem Jahr 2021 in Verbindung gebracht, bei der ein Skimmer gehostet wurde, der in der Lage war, die Verwendung von virtuellen Maschinen (VMs) zu erkennen.

Der Grund dafür ist zwar unklar, aber der VM-Code wurde inzwischen aus dem Skimmer entfernt. Außerdem hat die neue Malware ein anderes Benennungsschema. Es gab jedoch genügend Anhaltspunkte, die Malwarebytes auf eine Reihe von URLs hinwiesen, von denen einige bösartig waren.

Es wird vermutet, dass die Aktivitäten dieser neuen Kampagne mindestens bis Mai 2020 zurückreichen.

Eine Herausforderung bei der Verfolgung des aktuellen Verlaufs der Magecart-Angriffe ist jedoch die anhaltende Diskrepanz zwischen der mangelnden Sichtbarkeit auf der Serverseite und den transparenteren Scan-Tools auf der Clientseite.

„Wenn die Magecart-Bedrohungsakteure beschließen würden, ihre Operationen ausschließlich auf die Serverseite zu verlagern, würde die Mehrheit der Unternehmen, einschließlich unseres, über Nacht die Sichtbarkeit verlieren“, so Segura. „Aus diesem Grund schauen wir oft zu Forschern, die an der Bereinigung von Websites arbeiten. Wenn etwas passiert, würden diese Leute es wahrscheinlich bemerken. Im Moment können wir sagen, dass es immer noch Magecart-Angriffe auf der Client-Seite gibt und dass wir sie leicht übersehen könnten, wenn wir uns auf automatisierte Crawler und Sandboxes verlassen, zumindest wenn wir sie nicht robuster machen.“

Letztes Jahr hat Cloudflare ein Cybersecurity-Angebot auf den Markt gebracht, das Angriffe im Stil von Magecart abwehren soll. Cloudflare’s Page Shield, eine clientseitige Lösung, verfügt nun über Script Monitor, das JavaScript-Abhängigkeiten von Drittanbietern überprüft und alle Änderungen am Code im Laufe der Zeit aufzeichnet. Dies kann Unternehmen auf bösartige Ergänzungen ihrer E-Commerce-Dienste hinweisen.