De term "Magecart" verwijst naar aanvallen op het Magento-platform. Onlangs werd opnieuw een grote campagne ontdekt die Magento-sites als doelwit heeft. Carlsberg was een van de getroffen websites.
Het patroon van deze aanvallen is vrijwel altijd hetzelfde. Eén regel JavaScript laadt inhoud van een externe website — met andere woorden, een script van een derde partij. Die code wordt vervolgens zwaar geobfusceerd om detectie verder te vertragen.
In dit geval werd het betalingsproces stilletjes aangepast. Een nep-betaalmethode werd toegevoegd aan de winkelpagina en als eerste aan klanten getoond. Zodra je je creditcardgegevens invoerde, werden die direct naar de aanvaller gestuurd.
Deze aanval werd de "CosmicSting"-aanval genoemd en werd maanden geleden al gemeld. Een zeer gedetailleerde en recente analyse door Sansec brengt je snel op de hoogte.
URLScan heeft de geïnjecteerde code gearchiveerd:
Het domein https://artvislon[.]shop/img/ werd gebruikt om het volgende te injecteren:
Malwarebytes heeft meer gerapporteerd over de code zelf, voor wie die wil bekijken. De code is inmiddels verwijderd van de getroffen websites.
Het is opvallend — en enigszins frustrerend — dat getroffen bedrijven in dit soort rapporten vaak niet bij naam worden genoemd. Hoewel er doorgaans goede bedoelingen achter zitten om hun identiteit verborgen te houden, vraag je je af of dit stilzwijgen misschien deel van het probleem is. Wij vroegen ons dat in ieder geval af.
Als meer bedrijven publiekelijk bij naam werden genoemd wanneer client-side aanvallen zoals CosmicSting plaatsvinden, zou dat het broodnodige bewustzijn kunnen vergroten over de risico's van scripts van derden en skimming-malware, en andere merken kunnen behoeden voor vergelijkbare aanvallen.
Door deze inbreuken meer onder de radar te houden, lijkt de boodschap aan andere bedrijven en het publiek afgezwakt. Wanneer grote, bekende merken slachtoffer worden, zou dat voor andere bedrijven een wake-up call moeten zijn om hun client-side beveiliging serieuzer te nemen.
Deze bedrijven beschikken vaak over meer middelen en hebben een ervaren, toegewijd beveiligingsteam. Toch hebben bedrijven van alle groottes moeite met client-side beveiliging en hebben ze het probleem pas in de gaten als het op een zichtbare en wereldwijde manier misgaat.
Zoals we hebben gezien bij de Polyfill-aanval, kan een kwaadwillende — afhankelijk van de user agent, het tijdstip en het IP-adres — een kwaadaardig script injecteren. Wachten tot een beveiligingscrawler de aanval namens jou opmerkt, vangt alleen niet-geavanceerde, niet-gerichte aanvallen op.
De realiteit is dat zonder die schijnwerper op wie er getroffen wordt, de urgentie en ernst van deze aanvallen mogelijk niet volledig doordringen bij anderen in de sector.
Dat zou op zijn beurt een snellere adoptie van betere beveiligingspraktijken en sterkere verdedigingen op de hele linie kunnen stimuleren.
Hoewel er verschillende concepten zijn geprobeerd om dit soort aanvallen te bestrijden, heeft geen ervan echt gewerkt. Threat feeds zijn reactief en missen het doel vaak volledig. We berichtten net over een geval waarbij threat feeds een aanval meer dan 2 jaar lang niet detecteerden.
Malwarebytes detecteerde de aanval doordat een aantal van hun klanten hun detectie-browserplugin gebruikte. Die stopte de aanval succesvol voor die specifieke klanten, wat het een uitstekende oplossing maakt voor mensen die zich bewust zijn van de gevaren — maar niet voor degenen buiten die groep.
Omdat aanvallen zich blijven voordoen en client-side aanvallen bijzonder moeilijk te herkennen zijn, hebben we cside gebouwd om dit te veranderen. De website-eigenaar installeert ons script zodat het als eerste laadt, waardoor cside alle andere scripts op hun site kan monitoren, beveiligen en zelfs optimaliseren. Je kunt gratis aan de slag om je website en bezoekers te beschermen.
