Magecart Card Skimmer erweitern das Angriffsportfolio

Magecart ist nicht der Name einer neuen Online-Warenkorb-API, sondern der Name eines Netzwerks von Internetkriminellen, die seit einigen Jahren Kreditkartenausweise stehlen. Eine der Gruppen des größeren Netzwerks, das unter dem Namen Magecart bekannt ist, wurde kürzlich von Sicherheitsforschern entdeckt, um eine neue Angriffsmethode anzuwenden.

Magecart hat jetzt die Möglichkeit, Einzelhandels-Websites mit Iframes zu versehen, die wie eine normale Schnittstelle für Kreditkartenzahlungen aussehen. In diesem Fall wird ein anderer Ansatz verwendet, bei dem Magecart nicht nach einem legitimen Zahlungsformular sucht, das durch eines ersetzt werden kann, das überflogen werden kann. Stattdessen wird der iFrame mit dem böswilligen Zahlungsformular in den Code jeder PHP-Seite geschrieben. Er wird jedoch nur angezeigt, wenn auf der Seite ein reguläres Warenkorb-Bestellformular vorhanden ist.

Der böswillige Frame ist so formatiert, dass erfahrene Benutzer ihn leicht erkennen können, da die erforderlichen Felder in keinem normalen Zahlungsformular enthalten sind. Der Prozess teilt dem Opfer außerdem mit, dass es zu einer Website eines Drittanbieters weitergeleitet wird, auf der die Transaktion abgeschlossen wird. Dies ist ein weiterer Hinweis darauf, dass die Zahlung und das verwendete Verfahren nicht ganz stimmen.

Wenn alles nach Magecarts Plan läuft, lädt die Seite externen JavaScript-Code von einer Domain, die von einer russischen Entität registriert wurde. Dies geschieht natürlich alles, ohne einen normalen Benutzer in irgendeiner Weise zu alarmieren. Sobald die Kreditkartendaten von den schlechten Akteuren gescrappt und gesammelt wurden, wird der unwissende Kunde vom Einzelhändler zur legitimen Checkout-Seite weitergeleitet und muss seine Kreditkartendaten erneut eingeben. Dieser zweite Schritt, im Wesentlichen dasselbe zu tun, sollte eine weitere rote Fahne sein, um Benutzer darauf hinzuweisen, dass etwas nicht stimmt.