Magecart berichtete, dass er auf verschiedene Druckplattformen für Magazine abzielte
Die Forscher berichteten von einem Megacart-Skimming-Vorgang, der seit über 2,5 Jahren auf Plattformen wie die Zeitschriftendruckerei abzielt. Key Logger werden auf Zahlungswebseiten solcher Plattformen ausgeführt, um den Angriff auf Kundenzahlungskarteninformationen und ähnliche Daten durchzuführen.
Der Megacart-Angriff wurde 2017 als aktiv angesehen. Seine Opfer sind diejenigen, die die gedruckte Version des ESPN Maganize, Stars and Stripes, die Militärpublikation und viele andere ähnliche Websites derselben Druckplattform abonniert haben. Laut dem Bericht der Forscher wurden 20 Monate lang mindestens 18 Keylogger verwendet, um die Kreditkarteninformationen für Hacking-Gruppen zu sammeln.
Die böswilligen Akteure haben die Kreditkartenabschäumer mit gefälschten Netzwerkdomänen für die Bereitstellung von Inhalten getaktet, um den Datenverkehr zu verbergen. Die schädlichen Skripte werden nach dem Hacken der Websites in die Checkout-Seiten von E-Commercial-Stores eingefügt. Das Hauptziel der Angreifer hinter dem Megacart-Angriff besteht darin, die von Benutzern auf der Zahlungsplattform übermittelten Daten zu sammeln.
Es wurde festgestellt, dass eine kostenpflichtige ngrok-Proxy-Software verwendet wurde, mit der Betrüger ein benutzerdefiniertes Schema erstellen und versuchen können, sich der Erkennung zu entziehen. Die Details zu den Domänen des Content Delivery-Netzwerks, die schädlichen Code und andere enthielten, wurden in der Bibliothek analysiert. Sobald die Checkout-Seite übereinstimmt, werden die URL-Daten auf der Plattform gesammelt. Zu diesen Daten gehören:
- Benutzernamen,
- Adressen,
- E-Mails,
- Telefonnummern,
- Kreditkarteninformation
Jerome Segura, ein Forscher, der dieses überflogene Web enthüllte, erklärte:
Bedrohungsakteure wissen, dass sie normalerweise ein kleines Zeitfenster haben, bevor ihre Infrastruktur erkannt und möglicherweise heruntergefahren wird. Sie können clevere Tricks entwickeln, um ihre Aktivitäten zu maskieren. Außerdem können sie Domains verwenden, die entweder frisch sind oder legitimen (aber missbrauchten) Eigentümern gehören.