Novi napad MageCart hakerske grupe

Ubacivanjem malicioznih JS skripti, hakeri kradu osetljive informacije sa platnih kartica!

Novi napad MageCart hakerske grupe

Napadači su ukrali podatke klijenata kompanije VisionDirect preko lažnih Google Analytics skripti. Napad se dogodio između 3. i 8. novembra , a kompromitovani su lični i finansijski podaci kupaca – imena, adrese, brojevi telefona, email adrese, lozinke i detalji sa platnih kartica (brojevi kartica, datumi važenja i CVV brojevi).

Iz kompanije su preduzeli korake da spreče dalje curenje podataka, a zvanična istraga je u toku.

Ne zna se koliko je tačno korisničkih informacija iscurelo, ali pogođeni su svi korisnici koji su se logovali na sajt kompanije ili ažurirali naloge između 3. i 8. novembra. Hakeri su u pomenutom periodu krali informacije u momentu kada su ih korisnici unosili na sajt. Sve informacije unete pre i posle ovog perioda su bezbedne, odnosno nisu kompromitovane.

Nije pogođen samo VisionDirect UK sajt, već i mnogi drugi sajtovi u vlasništvu kompanije.

Pogođeni-VisionDirect-sajtovi

Slika 1. Pogođeni VisionDirect sajtovi.

Napad na VisionDirect je pripisan MageCart grupi zbog sličnosti u malicioznom JavaScript kodu sa onim koji je grupa koristila u ranijim napadima. U ovom napadu, hakeri su ubacili maliciozni kod u JavaScript library u nekoliko VisionDirect domena. Maliciozni kod je navodno deo Google analitike, međutim, google-analytic[.]com ne pripada Googleu. Kada posetilac dođe na sajt, MageCart malver prikuplja sve podatke koje on unese u formu.

Lažna-Google-Analytics-skripta

Slika 2. Krađa podataka preko lažne Google Analytics skripte.

U ovom napadu, hakeri su koristili nekoliko domena preko kojih su izvlačili informacije sa platnih kartica (a koji su viđeni i u ranijim napadima). U pitanju su:

g-statistic[.]com

google-analytic[.]com

msn-analytics[.]com

MageCart hakeri

MageCart grupa je poznata od ranije. Nedavno smo pisali o formjacking napadima ove grupe na online prodavnice poznatih kompanija (Ticketmaster, British Airways i dr.). Grupa je poznata po tome što ubacuje maliciozni JavaScript kod na sajtove kako bi ukrali osetljive informacije koje korisnici unose direktno u online platne forme ili preko komrpomitovanih third-party aplikacija koje sajt koristi.

Sumnja se da najmanje osam hakerskih grupa primenjuje MageCart modus operandi.

Izvor: Threat Post