Meyhod Skimmer
Infosec-Forscher haben einen neuen Angriff vom Typ Magecart entdeckt. Die bereitgestellte Bedrohung hieß Meyhod Skimmer und wurde auf mehreren E-Commerce-Websites entdeckt. Unter den Opfern sind Bsley, ein beliebtes Unternehmen für Haarbehandlungsprodukte, und das Chicago Architecture Center (CAC), eine der größten Kulturorganisationen in dieser Stadt. Der Meyhod Skimmer wurde nicht nur erfolgreich in die betroffenen Websites eingebettet, sondern konnte auch mehrere Monate dort bleiben, ohne entdeckt zu werden.
Die Analyse ergab, dass der Meyhod-Skimmer bei weitem nicht so komplex ist wie einige der anderen aktuellen Magecart-Bedrohungen, wie die neuesten Grelos-Skimmer-Varianten oder der Ant and Cockroach-Skimmer. Relativ simpel zu sein ist in diesem Fall kein Nachteil, da die Hacker, die für die Freisetzung von Meyhod verantwortlich sind, offensichtlich viel Erfahrung mit dieser Art von Operation hatten. Sie haben die Bedrohung akribisch ausgearbeitet, um sie äußerst effizient in die Website-Umgebung des Opfers einzufügen. Tatsächlich stellten Infosec-Forscher fest, dass jede infizierte Website eine Meyhoid Skimmer-Bedrohung enthielt, die geringfügige Abweichungen im Code aufwies, was darauf hinweist, dass sich die Cyberkriminellen die Zeit genommen haben, ihr Malware-Tool an das jeweilige Ziel anzupassen.
Die Methode eines Meyhod Skimmer-Angriffs sieht vor, dass die Bedrohung auf mehr als ein Dutzend Funktionen aufgeteilt wird, was bei der Verschleierung hilft. Der beschädigte Code selbst wird an legitime JavaScript-Ressourcen angehängt, die von weit verbreiteten JavaScript-Bibliotheken bis zu benutzerdefiniertem Code reichen. Die geänderten Ressourcen werden dann über Skript-Tags in den Warenkorb und die Checkout-Seiten eingebettet, die auf einen flüchtigen Blick mit einem normalen Aufruf einer Bibliothek verwechselt werden können. Eine der Funktionen des Meyhod Skimmers mit dem Namen "saveData" hat die Aufgabe, Kreditkartendaten mithilfe von jQuery-Selektoren abzurufen. Alle gesammelten Daten werden dann über AJAX POST-Anforderungen an die Command-and-Control-Server weitergeleitet, die für die Vorgänge eingerichtet wurden.
Der Meyhod Skimmer zeigt, dass sich die Landschaft der Angriffe im Magecart-Stil immer noch weiterentwickelt und Cyberkriminelle radikal unterschiedliche Techniken anwenden. Das Endziel ist jedoch dasselbe geblieben: Verletzung sensibler Zahlungsinformationen durch Kompromittierung von E-Commerce-Websites.
Meyhod weist auf die sich ständig weiterentwickelnde und erweiternde Magecart-Landschaft hin, die den Diebstahl von Zahlungsinformationen über kompromittierte E-Commerce-Websites umfasst.
