Die Zahl der Magecart-Angriffe nimmt zwar ab, aber sie werden immer heimlicher, und Forscher weisen auf potenzielle serverseitige Schwachstellen bei der Verfolgung dieser Angriffe hin. Am 20. Juni erklärte der Malwarebytes-Forscher Jérôme Segura in einem Blog-Beitrag, dass die Zahl der Magecart-Angriffe zwar zurückgegangen zu sein scheint, jüngste Berichte jedoch darauf hindeuten, dass der Markt für gestohlene Kreditkartendaten immer noch lohnend ist – und eine neue Kampagne hat gezeigt, dass einige Operationen immer noch eine „ziemlich breite Infrastruktur“ betreiben.

Man hört nicht allzu oft von Magecart-Angriffen. In den letzten Jahren machten eher Angriffe auf zentrale Versorgungseinrichtungen und kritische Dienste, staatlich gesponserte Kampagnen, Ransomware, massive Datenschutzverletzungen und Störungen größeren Ausmaßes Schlagzeilen als die Probleme, die Magecart-Opfer heute häufig erleben.

Dies bedeutet jedoch nicht, dass das Problem verschwunden ist, und wir sollten nicht vergessen, dass nicht nur KMUs gefährdet sind: Große Marken sind in der Vergangenheit Opfer dieser Art von Cyberangriffen geworden, darunter British Airways, Newegg und Ticketmaster.

Magecart beschreibt Cyberangriffe, die auf die E-Commerce-Funktionen einer Website abzielen. Bei diesen Angriffen, die auch als Card-Skimming-Angriffe bekannt sind, nutzen Bedrohungsakteure häufig eine Schwachstelle im Backend-Content-Management-System einer Website oder in Abhängigkeiten von Drittanbietern aus und schleusen heimlich bösartigen JavaScript-Code ein.

Dieser Code, der in den Zahlungsabschnitt einer Website eingebettet ist, fängt dann die vom Kunden eingegebenen Kartendaten ab und sendet sie an einen vom Angreifer kontrollierten Server.

Ein am 9. Juni veröffentlichter Sansec-Bericht enthüllte eine neue Skimmer-Domain. Am 12. Juni twitterte ein anderer Forscher über einen mutmaßlich bösartigen Host und dessen Verbindung zu einem gehackten E-Commerce-Shop. Dies wurde dann von einem anderen Forscher bestätigt.

Malwarebytes hat die Berichte untersucht, und aufgrund der gleichen autonomen Systemnummer, die in beiden Fällen verwendet wurde, wurden die Domänen mit einer größeren Kampagne in Verbindung gebracht.

Die Cybersecurity-Forscher haben ihre Aufzeichnungen durchforstet und die jüngsten Magecart-Aktivitäten mit einer Kampagne aus dem Jahr 2021 in Verbindung gebracht, bei der ein Skimmer gehostet wurde, der in der Lage war, die Verwendung von virtuellen Maschinen (VMs) zu erkennen.

Der Grund dafür ist zwar unklar, aber der VM-Code wurde inzwischen aus dem Skimmer entfernt. Außerdem hat die neue Malware ein anderes Benennungsschema. Es gab jedoch genügend Anhaltspunkte, die Malwarebytes auf eine Reihe von URLs hinwiesen, von denen einige bösartig waren.

Es wird vermutet, dass die Aktivitäten dieser neuen Kampagne mindestens bis Mai 2020 zurückreichen.

Eine Herausforderung bei der Verfolgung des aktuellen Verlaufs der Magecart-Angriffe ist jedoch die anhaltende Diskrepanz zwischen der mangelnden Sichtbarkeit auf der Serverseite und den transparenteren Scan-Tools auf der Clientseite.

„Wenn die Magecart-Bedrohungsakteure beschließen würden, ihre Operationen ausschließlich auf die Serverseite zu verlagern, würde die Mehrheit der Unternehmen, einschließlich unseres, über Nacht die Sichtbarkeit verlieren“, so Segura. „Aus diesem Grund schauen wir oft zu Forschern, die an der Bereinigung von Websites arbeiten. Wenn etwas passiert, würden diese Leute es wahrscheinlich bemerken. Im Moment können wir sagen, dass es immer noch Magecart-Angriffe auf der Client-Seite gibt und dass wir sie leicht übersehen könnten, wenn wir uns auf automatisierte Crawler und Sandboxes verlassen, zumindest wenn wir sie nicht robuster machen.“

Letztes Jahr hat Cloudflare ein Cybersecurity-Angebot auf den Markt gebracht, das Angriffe im Stil von Magecart abwehren soll. Cloudflare’s Page Shield, eine clientseitige Lösung, verfügt nun über Script Monitor, das JavaScript-Abhängigkeiten von Drittanbietern überprüft und alle Änderungen am Code im Laufe der Zeit aufzeichnet. Dies kann Unternehmen auf bösartige Ergänzungen ihrer E-Commerce-Dienste hinweisen.

ZDNet.de Redaktion

Recent Posts

Google schließt schwerwiegende Sicherheitslöcher in Chrome

Sie stecken unter anderem in der JavaScript-Engine V8. Angreifbar sind Chrome für Windows, macOS und…

6 Stunden ago

VMware-Alternativen: Diese Möglichkeiten bieten andere Anbieter, Open Source und die Cloud

Die Übernahme von VMware durch Broadcom schlägt in der IT-Welt hohe Wellen. Die Produkt- und…

7 Stunden ago

Checkpoint: Microsoft überarbeitet kumulative Updates für Windows 11

Mit Windows 11 Version 24H2 setzt Microsoft auf kleinere kumulative Update-Pakete. Dafür erhält Windows zwischen…

10 Stunden ago

Smartphoneverkäufe steigen um 6,5 Prozent im zweiten Quartal

Samsung und Apple wachsen langsamer als die Konkurrenz aus China. IDC rechnet mit weiteren Wachstumsimpulsen…

21 Stunden ago

Nach Verkaufsverbot: Kaspersky zieht sich auf US-Markt zurück

Der schrittweise Rückbau der Geschäftsaktivitäten beginnt am 20. Juli. Das Verkaufsverbot entzieht Kaspersky nach eigenen…

1 Tag ago

IT-Ausgaben steigen 2024 voraussichtlich um 7,5 Prozent

Gartner korrigiert seine Prognose leicht nach unten. Wachstumsmotor der IT-Ausgaben bleibt jedoch der zunehmende Einsatz…

1 Tag ago