Menu

Serangan Magecart Menyimpan Data Kartu Kredit yang Dicuri dalam File .JPG

Serangan Magecart Menyimpan Data Kartu Kredit yang Dicuri dalam File .JPG

 

Peneliti dari Sucuri menemukan taktik tersebut, yang secara kreatif menyembunyikan aktivitas berbahaya hingga infonya dapat diambil, selama penyelidikan ke situs e-commerce Magento 2 yang disusupi.


Penyerang Magecart telah menemukan cara baru untuk menyembunyikan aktivitas online jahat mereka dengan menyimpan data yang telah mereka telusuri dari kartu kredit secara online dalam file .JPG di situs web yang telah mereka masukkan dengan kode berbahaya.


Peneliti di firma keamanan situs web Sucuri menemukan taktik yang sulit dipahami baru-baru ini selama penyelidikan ke situs web yang disusupi menggunakan platform e-niaga sumber terbuka Magento 2, kata Luke Leal dari tim peneliti perangkat lunak perusak Sucuri dalam sebuah laporan yang diposting online minggu lalu.


"Penggunaan .JPG palsu secara kreatif memungkinkan penyerang menyembunyikan dan menyimpan detail kartu kredit yang diambil untuk digunakan di masa mendatang tanpa mendapatkan terlalu banyak perhatian dari pemilik situs web," tulisnya.


Metode permintaan POST meminta server web untuk menerima data yang disertakan dalam tubuh pesan permintaan, biasanya agar dapat disimpan. Ini sering digunakan dalam transaksi web ketika seseorang telah mengunggah file ke situs web atau mengirimkan formulir web yang telah diisi.


Secara khusus, Sucuri menemukan bahwa penyerang menyuntikkan kode PHP ke dalam file bernama ./vendor/magento/module-customer/Model/Session.php, kemudian menggunakan fungsi "getAuthenticates" untuk memuat kode berbahaya, kata Leal. Kode tersebut juga membuat file .JPG, yang digunakan penyerang untuk menyimpan data apa pun yang mereka ambil dari situs yang disusupi, katanya.


“Fitur ini memungkinkan penyerang untuk dengan mudah mengakses dan mengunduh informasi yang dicuri sesuai keinginan mereka sambil menyembunyikannya dalam JPG yang tampaknya tidak berbahaya,” tulis Leal.


Memang, pelaku ancaman yang bertujuan untuk mencuri data dari transaksi online terus-menerus mencoba menemukan cara baru untuk menghindari deteksi dengan menyembunyikan aktivitas mereka dengan cara yang kreatif.


Penyerang Magecart – grup ancaman berbeda yang semuanya menyusupi situs web e-niaga dengan skrip skrip kartu di halaman checkout untuk mencuri pembayaran pelanggan dan data pribadi – sangat mahir dalam aktivitas ini. Mereka sering menyembunyikan teknik skimming mereka dalam fungsionalitas yang tampak otentik serta menggunakan platform yang mereka serang untuk mengkanibal diri mereka sendiri untuk mencapai hasil mereka.


Kampanye Magecart yang ditemukan selama Natal, misalnya, menyembunyikan dirinya dalam iframe PayPal yang meyakinkan dalam proses pembayaran PayPal di situs e-commerce untuk mencuri kredensial pengguna dan info kartu kredit.


Kampanye terbaru juga memanfaatkan kerangka kerja kode Magento untuk melakukan pekerjaan kotor memanen data yang ditangkap dan disembunyikan di file .JPG, jelas Leal. Kode PHP berbahaya mengandalkan fungsi Magento "getPostValue" untuk menangkap data halaman checkout dalam parameter "Customer_ POST," katanya.


Itu juga menggunakan fungsi Magento "isLoggedIn" untuk memeriksa apakah korban masuk ke situs sebagai pengguna dan, jika ini masalahnya, penyerang juga mencabut alamat email pengguna dari transaksi, katanya.


“Hampir semua informasi yang dikirimkan oleh korban di halaman checkout disimpan dalam parameter 'Customer_,' termasuk nama dan alamat lengkap, detail kartu pembayaran, nomor telepon, dan detail agen pengguna," tulisnya.


Setelah penyerang mendapatkan data pembayaran pelanggan, mereka kemudian dapat menggunakannya untuk berbagai kegiatan kriminal, seperti penipuan kartu kredit atau spam atau phishing berbasis email yang ditargetkan, tambah Leal.


Meskipun pendekatan anti-deteksi Magecart terbaru ini dapat membuat infeksi sulit dikenali pada awalnya, ini akan membantu pemilik situs web untuk mengidentifikasi file baru di lingkungan atau mendeteksi perubahan yang berpotensi berbahaya sebelum mereka melakukan kerusakan jika mereka menerapkan layanan pemantauan situs web atau pemeriksaan kontrol integritas, Sucuri direkomendasikan.

Iklan Tengah Post

Ads middle content1

Ads middle content2