Die Sicherheitsforscher der ThreatLabZ-Abteilung von Zscaler entdeckten in den letzten Wochen einen Anstieg kompromittierter Online-Shop-Seiten, denen ein Skimming-Skript injiziert wurde. Das Skript sucht nach Zahlungsmethoden sowie persönlichen, identifizierbaren Informationen (PII).
Der Skimmer-Code schlägt zu, wenn die Zahlungsmethode und persönliche Informationen eingegeben sind und erfasst die Daten bevore „Submit“ angeklickt wird. Die erfassten Informationen werden im Anschluss mit einem Base64 Algorismus verschlüsselt und in einem Get-Request zur Gate-URL geschickt.
Die aktuellen Magecart-Aktivitäten zeigt eine Weiterentwicklung der struktierierten Vorgehensweise der Gruppierung. Die Skripts werden für verschiedene Angriffe verwendet, zeigen URL Parameter-Muster und die Verwendung der Algorithmen die für die Datenverschlüsselung verwendet werden. Auch wenn sich die Angriffszyklen ähneln, wurden bei der Analyse der neuen Aktiviäten auch Unterschiede deutlich.
Einige nutzen Verschleierung um den injizierten Skript-Code zu verstecken und verwenden weitere kompromittierte Seiten zum Hosten des Skimmer-Skripts. Andere setzen auf neu registrierte Domaines für das Skimmer-Skript Hosting. Unabhängig vom Ladeprozess des Skripts, kommt der Skimmer-Code so gut wie ohne Verschleierung aus.
Bereits im Juli war eine größere Kampagne der Gruppierung durch Zscaler bekannt gemacht worden. Die Kriminellen verwendeten stark verschleierte Java-Skripte mit verschlüsselten Befehlszeilen, die dynamisch injiziert wurden. In anderen Fällen wurde bösartiger Java-Skript-Code direkt in die E-Commerce-Seiten geschleust.
Diese Mechanismen unterschieden sich von den entdeckten Angriffenaus dem Jahr 2018, als der Schad-Code noch über Fernzugriff eingespeist wurde. Die Vorgehensweise der Magecart-Gruppe, um ihre schädlichen Aktivitäten im Verborgenen durchführen zu können, haben die Sicherheitsforscher des ThreatLabZ gezielt in ihrer Analyse unter die Lupe genommen.