Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Magecart

Magecart

59,4 Juta Catatan Kartu Pembayaran yang Disusupi Diposting untuk Dijual di Web Gelap pada Tahun 2022

by

Hampir 60 juta catatan kartu pembayaran yang dikompromikan diposting untuk dijual di platform web gelap pada tahun 2022, menurut laporan baru.

Dibandingkan dengan tahun 2021 yang mencapai hampir 100 juta catatan kartu pembayaran yang disusupi, jumlah tersebut termasuk menurun.

Peretas secara fisik mengkompromikan perangkat pedagang untuk mencuri data kartu pembayaran untuk memfasilitasi transaksi Card-Present (CP). Sementara penjahat siber seringkali dengan infeksi Magecart e-skimmer untuk mencuri data kartu dari transaksi Card-Not-Present (CNP) online.

Meski tahun ini turun 62%, pelanggaran CP pada tahun 2022 sangat mempengaruhi restoran dan bar kecil. Jumlahnya terus menurun selama bertahun-tahun karena meningkatnya adopsi global dari metode pembayaran tatap muka yang lebih aman.
Pembayaran non-tunai, chip EMV, dan penurunan umum dalam transaksi langsung berkontribusi terhadap penurunan tersebut.

Secara total, para peneliti menemukan setidaknya 20,5 juta catatan yang memiliki nomor akun utama lengkap di forum web gelap, pastebin, dan media sosial. Setelah nomor diverifikasi, peretas melakukan transaksi penipuan atau mendapatkan lebih banyak informasi pribadi yang memungkinkan mereka mengambil alih sepenuhnya akun keuangan untuk menarik dana.

Kartu Pembayaran Kompromi Penuh Diposting ke Forum, Media Sosial, Pastebin, dan Sumber Daya Lainnya
Kartu Pembayaran Kompromi Penuh Diposting ke Forum, Media Sosial, Pastebin, dan Sumber Daya Lainnya

Sebagian besar peretas yang mendapatkan kartu pembayaran yang disusupi bukanlah orang yang sama yang menggunakannya untuk penipuan, biasanya menjualnya di toko kartu.

Pada tahun 2022, 70% dari 59,4 juta catatan kartu pembayaran yang disusupi dikeluarkan oleh lembaga keuangan di Amerika Serikat.

Recorded Future memperkirakan pada tahun 2023, bahwa pasar penipuan kartu akan sama-sama bergantung pada peristiwa dunia dengan alasan bahwa hasil perang Rusia-Ukraina kemungkinan besar akan menentukan aktivitas.

Selengkapnya: The Record

Peretas mencuri 50.000 kartu kredit dari 300 restoran U.S

by

Detail kartu pembayaran dari pelanggan lebih dari 300 restoran telah dicuri dalam dua kampanye skimming web yang menargetkan tiga platform pemesanan online.

Skimmer web, atau malware Magecart, biasanya adalah kode JavaScript yang mengumpulkan data kartu kredit saat pembeli online mengetiknya di halaman checkout.

Baru-baru ini, alat pendeteksi ancaman Recorded Future mengidentifikasi dua kampanye Magecart yang menyuntikkan kode berbahaya ke portal pemesanan online MenuDrive, Harbortouch, dan InTouchPOS.

Akibatnya, 50.000 kartu pembayaran dicuri dan telah ditawarkan untuk dijual di berbagai pasar di web gelap.

Kampanye pertama dimulai pada 18 Januari 2022 dan mencapai 80 restoran menggunakan MenuDrive dan 74 yang menggunakan platform Harbortouch.

Sebagian besar restoran ini adalah perusahaan lokal kecil di seluruh AS yang menggunakan platform sebagai alternatif hemat biaya untuk melakukan outsourcing proses pemesanan online.

Peta korban kampanye Magecart pertama (Recorded Future)

Di kedua platform, skimmer web disuntikkan ke halaman web restoran dan subdomain yang ditetapkan pada platform layanan pembayaran online.

Malware yang disebarkan untuk MenuDrive menggunakan dua skrip, satu untuk mengambil data kartu pembayaran dan satu lagi untuk mengumpulkan nama pemegang kartu, alamat email, dan nomor telepon, dicapai dengan melampirkan ke acara ‘onmousedown’ dan “merespons klik beberapa tombol selama pembuatan akun dan proses checkout.”

Contoh skimmer pada subdomain MenuDrive (Recorded Future)

Di Harbortouch, skimmer yang disuntikkan menggunakan satu skrip untuk mencuri semua informasi pengenal pribadi (PII) dan data kartu pembayaran.

Skimmer disuntikkan pada subdomain Harbortouch (Recorded Future)

Kampanye kedua yang menargetkan InTouchPOS dimulai pada 12 November 2021, tetapi sebagian besar injeksi skimmer di halaman web terjadi jauh kemudian, pada Januari 2022.

Infeksi InTouchPOS dengan loader JS dan cuplikan skimmer (hijau) (Recorded Future)

Skimmer dan artefak yang mencirikannya (penamaan variabel, struktur, kebingungan, dan skema enkripsi) menghubungkannya dengan kampanye yang lebih lama dan masih berlangsung, Recorded Future mengatakan dalam sebuah laporan yang dibagikan dengan BleepingComputer.

Dalam hal ini, skimmer tidak mencuri detail dari situs, melainkan melapisi formulir pembayaran palsu pada target valid yang siap untuk proses checkout menggunakan kartu kredit.

Menurut Recorded Future, kedua kampanye sedang berlangsung, dan domain eksfiltrasi terkait masih online dan beroperasi.

Perusahaan keamanan telah memperingatkan semua entitas yang terkena dampak dari kompromi tersebut, tetapi mereka belum menerima tanggapan. Lembaga penegak hukum dan platform pembayaran telah diinformasikan.

Dalam kasus MenuDrive dan Harbortouch, menghapus skimmer memerlukan pemindaian semua subdomain restoran.

Infeksi InTouchPOS lebih mudah ditangkap dengan sebagian besar pemindai keamanan, karena menggunakan pengunduh JavaScript untuk skimmer, yang dapat dideteksi melalui perbandingan kode sederhana.

Sumber: Bleeping Computer

Gelombang serangan MageCart menargetkan ratusan situs Magento yang sudah ketinggalan zaman

by

Analis telah menemukan sumber pelanggaran massal lebih dari 500 toko e-niaga yang menjalankan platform Magento 1 dan melibatkan satu domain yang memuat skimmer kartu kredit pada semuanya.

Menurut Sansec, serangan itu menjadi jelas akhir bulan lalu ketika crawler mereka menemukan 374 infeksi pada hari yang sama, semuanya menggunakan malware yang sama.

Domain tempat pelaku ancaman memuat malware adalah naturalfreshmall[.]com, saat ini offline, dan tujuan pelaku ancaman adalah mencuri informasi kartu kredit pelanggan di toko online yang ditargetkan.

Investigasi Sansec selanjutnya mengungkap bahwa penyerang menyalahgunakan kerentanan yang diketahui di plugin Quickview untuk menyuntikkan pengguna admin Magento jahat yang kemudian dapat menjalankan kode dengan hak istimewa tertinggi.

Penyalahgunaan terjadi melalui penambahan aturan validasi ke tabel customer_eav_attribute. Ini menipu aplikasi host untuk membuat objek jahat, yang kemudian digunakan untuk membuat pintu belakang sederhana (api_1.php).

Menambahkan aturan di database situs web.
Sumber: Sansec

Selain menyuntikkan skimmer kartu kredit, peretas juga dapat menggunakan pintu belakang api_1.php untuk menjalankan perintah di server jarak jauh, yang mengarah ke pengambilalihan situs secara menyeluruh.

Sansec menunjukkan bahwa dalam kasus ekstrim, musuh menyuntikkan sebanyak 19 backdoors pada satu platform e-commerce, mungkin bereksperimen untuk mencari tahu apa yang terbaik untuk tujuan mereka atau hanya menjadi sangat serius tentang redundansinya.

Adobe telah berhenti mendukung cabang Magento 1 dari platform e-niaga populer sejak 30 Juni 2020, tetapi ribuan situs masih menggunakan perangkat lunak usang.

Hal ini membuat situs rentan terhadap berbagai serangan peretas, dan dengan ekstensi, menempatkan detail sensitif pelanggan mereka dalam risiko.

Rincian ini biasanya mencakup nomor kartu kredit, alamat pengiriman, nama, nomor telepon, alamat email, dan umumnya semua yang diperlukan untuk melakukan pemesanan online.

Sangat disarankan agar semua admin Magento mengonfirmasi bahwa mereka menggunakan platform versi terbaru dan memutakhirkan jika menggunakan versi lama yang tidak didukung.

Sumber : Bleeping Computer

Peretas Magecart Sembunyikan Data Kartu Kredit yang Dicuri Ke Dalam Gambar untuk Penghindaran Eksfiltrasi

by

Pelaku kejahatan dunia maya bagian dari kelompok Magecart telah menggunakan teknik baru untuk mengaburkan kode malware dalam blok komentar dan mengkodekan data kartu kredit curian ke dalam gambar dan file lain yang dihosting di server, sekali lagi menunjukkan bagaimana penyerang terus meningkatkan rantai infeksi mereka untuk menghindari deteksi.

“Salah satu taktik yang digunakan beberapa aktor Magecart adalah membuang detail kartu kredit yang digesek ke file gambar di server [untuk] menghindari kecurigaan,” Analis Keamanan Sucuri, Ben Martin, mengatakan dalam sebuah tulisan. “Ini nanti dapat diunduh menggunakan permintaan GET sederhana di kemudian hari.”

MageCart adalah istilah umum yang diberikan kepada beberapa kelompok penjahat dunia maya yang menargetkan situs web e-niaga dengan tujuan menjarah nomor kartu kredit dengan menyuntikkan skimmer JavaScript berbahaya dan menjualnya di pasar gelap.

Sucuri mengaitkan serangan itu dengan Magecart Group 7 berdasarkan tumpang tindih dalam taktik, teknik, dan prosedur (TTP) yang diadopsi oleh aktor ancaman.

Dalam satu contoh infeksi situs web e-niaga Magento yang diselidiki oleh perusahaan keamanan milik GoDaddy, ditemukan bahwa skimmer dimasukkan ke salah satu file PHP yang terlibat dalam proses checkout dalam bentuk string terkompresi yang disandikan Base64.

Terlebih lagi, untuk lebih menutupi keberadaan kode berbahaya dalam file PHP, musuh dikatakan telah menggunakan teknik yang disebut penggabungan di mana kode tersebut digabungkan dengan potongan komentar tambahan yang “tidak berfungsi melakukan apa pun tetapi menambahkan lapisan kebingungan. membuatnya agak lebih sulit untuk dideteksi.”

Pada akhirnya, tujuan dari serangan tersebut adalah untuk menangkap rincian kartu pembayaran pelanggan secara real-time di situs web yang disusupi, yang kemudian disimpan ke file style sheet palsu (.CSS) di server dan diunduh kemudian di ujung aktor ancaman oleh membuat permintaan GET.

“MageCart adalah ancaman yang terus berkembang terhadap situs web e-niaga,” kata Martin. “Dari sudut pandang penyerang: hadiahnya terlalu besar dan konsekuensinya tidak ada, mengapa tidak? Kekayaan literal dibuat [dengan] mencuri dan menjual kartu kredit curian di pasar gelap.”

selengkapnya : thehackernews.com

VISA: Semakin banyak peretas yang menggunakan web shell untuk mencuri kartu kredit

by

Pemroses pembayaran global VISA memperingatkan bahwa pelaku ancaman semakin banyak menggunakan web shell pada server yang disusupi untuk mengekstrak informasi kartu kredit yang dicuri dari pelanggan toko online.

Sepanjang tahun lalu, VISA telah melihat tren yang berkembang dari web shell yang digunakan untuk menyuntikkan skrip berbasis JavaScript yang dikenal sebagai skimmer kartu kredit ke toko online yang diretas dalam serangan skimming web (alias skimming digital, e-Skimming, atau Magecart).

Setelah digunakan, skimmer memungkinkan mereka untuk mencuri pembayaran, dan informasi pribadi yang dikirimkan oleh pelanggan toko online yang disusupi dan mengirimkannya ke server yang mereka kendalikan.

Pada bulan Februari, temuan VISA dikonfirmasi oleh tim Microsoft Defender Advanced Threat Protection (ATP), yang mengatakan bahwa jumlah web shell yang digunakan pada server yang disusupi hampir dua kali lipat sejak tahun lalu.

Peneliti keamanan perusahaan menemukan rata-rata 140.000 alat berbahaya semacam itu di server yang diretas setiap bulan, antara Agustus 2020 hingga Januari 2021.

Sebagai perbandingan, Microsoft mengatakan dalam laporan tahun 2020 bahwa mereka mendeteksi rata-rata 77.000 web shell setiap bulan, berdasarkan data yang dikumpulkan dari sekitar 46.000 perangkat berbeda antara Juli dan Desember 2019.

Selengkapnya: Bleeping Computer

Cloudflare meluncurkan Page Shield untuk menggagalkan serangan skimming kartu Magecart

by

Cloudflare telah meluncurkan penawaran keamanan web baru untuk mencegah serangan Magecart.

Perusahaan yang tak terhitung jumlahnya telah, dan terus, menjadi mangsa serangan Magecart. Korban di masa lalu termasuk British Airways, Ticketmaster, Newegg, dan Boom! Mobile.

Untuk mengatasi masalah ini, pada hari Kamis, Cloudflare meluncurkan Page Shield, solusi keamanan klien.

Fitur Script Monitor, termasuk dalam Page Shield, memeriksa dependensi JavaScript pihak ketiga dan mencatat setiap tambahan baru dari waktu ke waktu.

Script Monitor, saat ini dalam Beta dan ditemukan di bawah bagian Firewall dasbor pelanggan, mereka juga menambahkan header Content-Security-Policy-Report-Only ke konten yang melewati jaringan Cloudflare.

Ketika JavaScript mencoba untuk mengeksekusi, browser akan mengirim laporan kembali ke perusahaan yang diperiksa untuk melihat apakah ada perubahan baru – dan kemudian pelanggan diberi tahu sehingga pelanggan dapat “menyelidiki dan menentukan apakah perubahan itu diharapkan,” kata Cloudflare.

Perusahaan juga bekerja sama dengan mitra keamanan siber untuk mendapatkan sampel JavaScript Magecart. Pada akhirnya, diharapkan Page Shield akan cukup akurat untuk memberi tahu klien saat dependensi tampak berbahaya.

Sumber: ZDNet

Sumber: ZDNet

Peretas menyalahgunakan Google Apps Script untuk mencuri kartu kredit, melewati CSP

by

Penyerang menyalahgunakan platform pengembangan aplikasi bisnis Google Apps Script untuk mencuri informasi kartu kredit yang dikirimkan oleh pelanggan situs web e-commerce saat berbelanja online.

Mereka menggunakan domain script.google.com untuk berhasil menyembunyikan aktivitas berbahaya mereka dari mesin pemindai malware dan melewati kontrol Kebijakan Keamanan Konten (CSP).

Mereka memanfaatkan fakta bahwa toko online akan menganggap domain Google Apps Script sebagai tepercaya dan berpotensi memasukkan semua subdomain Google ke whitelist di konfigurasi CSP situs mereka (standar keamanan untuk memblokir eksekusi kode yang tidak tepercaya di aplikasi web).

Skimmer kartu kredit (skrip Magecart atau skimmer kartu pembayaran) adalah skrip berbasis JavaScript yang disuntikkan oleh grup kejahatan siber yang dikenal sebagai grup Magecart yang disuntikkan ke toko online yang diretas sebagai bagian dari serangan web skimming (juga dikenal sebagai e-skimming).

Setelah digunakan, skrip memungkinkan mereka untuk memanen pembayaran, dan info pribadi yang dikirimkan oleh pelanggan toko yang diretas dan mengumpulkannya di server mereka.

Taktik pencurian info pembayaran baru ini ditemukan oleh peneliti keamanan Eric Brandel saat menganalisis data Early Breach Detection yang disediakan oleh Sansec, sebuah perusahaan keamanan siber yang berfokus pada memerangi skimming digital.

Selengkapnya: Bleeping Computer

Skimmer kartu multi-platform ditemukan di Shopify dan BigCommerce

by

Skimmer kartu kredit multi-platform yang baru ditemukan dapat mengumpulkan informasi pembayaran di toko yang disusupi yang didukung oleh Shopify, BigCommerce, Zencart, dan Woocommerce.

Meskipun biasanya dirancang untuk menargetkan satu jenis platform e-commerce, jenis baru malware skimming web ini dapat mengambil alih proses pembayaran di toko-toko menggunakan beberapa sistem manajemen toko online dengan memasukkan halaman pembayaran yang berbahaya.

Skimmer baru ini (juga dikenal sebagai skrip Magecart) juga dapat menyalahgunakan sistem hosted e-commerce seperti Shopify dan BigCommerce, seperti yang ditemukan oleh para peneliti di perusahaan keamanan cyber Belanda Sansec.

Itu dilakukan dengan menampilkan halaman pembayaran palsu sebelum pelanggan mendarat di formulir checkout yang sebenarnya dan menggunakan keylogger untuk mencegat pembayaran dan informasi pribadi.

Skimmer juga akan memberikan error setelah pelanggan menekan tombol “Lanjutkan” untuk mengirimkan informasi kartu kredit mereka untuk menghindari deteksi dan tidak menaikkan tanda alarm apa pun, mengarahkan mereka kembali ke proses pembayaran dan formulir pembayaran yang sah.

Sumber: Sansec
Sumber: Sansec

Teknik menarik lainnya yang digunakan oleh skimmer ini adalah caranya mengeksfiltrasi data ke domain yang dibuat secara otomatis berdasarkan counter dan dikodekan menggunakan pengkodean base64.

Ini juga memberikan petunjuk tentang berapa lama kampanye Magecart ini telah berjalan, mengingat domain eksfiltrasi yang dihasilkan secara terprogram pertama kali didaftarkan pada tanggal 31 Agustus 2020 untuk pertama kalinya.

Sumber: Bleeping Computer