Noll
Det var först i går som forskare bekräftade en massiv betalkort skumma system som drivs av Magecart som äventyras webbutik av programföretaget ABS-CBN, nu, cyberthreat gruppen har skördat ett nytt offer i Newegg.
Forskare från RiskIQ, tillsammans med Volexity, visade att det Kalifornien-baserade återförsäljare Newegg är det senaste kända handlare att falla till föga för hot aktörer.
På onsdag, den säkerhet som företaget sade i ett blogginlägg att en betalning skumma systemet har varit i drift sedan den 13 augusti.
Den Magecart hacka gruppen, som har varit verksamt sedan år 2015, registrerade en domän som heter neweggstats.com. Som liknar Newegg legitima domän, newegg.com det var sannolikt registrerade för att framstå som en verklig förlängning av den verkliga domän.
Ett säkerhetscertifikat sedan förvärvades av Magecart, som utfärdats av Comodo.
Enligt forskarna, en dag efter registrering, Magecart pekade domännamnet till 217.23.4.11, som är en server som koncernen driver för att få stulna kreditkortsuppgifter.
TechRepublic: Varför 31% av dataintrång leda till att anställda får sparken
Men var skulle dessa uppgifter ifrån?
Newegg själv. Runt samma dag, cyberattackers kunde infiltrera Newegg system och släpp betalkort skimmer kod i e-handelns kassan.
RiskIQ säger att koden var förvrängd, en gemensam praxis som har länkat Magecart att liknande attacker på ABS-CBN, British Airways, och Ticnet.
Efter att en kund valt en produkt på plattformen och att sätta punkt i deras webbutik, är det första steget i kassan började, som var den validering av en fysisk adress. Kunden var sedan skickas till en ny sida att börja den finansiella aspekten av köpet.
CNET: State Department e-post dataintrång utsätter anställda data
Det var på den här sidan att den skadliga kod som ska fungera, oavsett om eller inte en kund åt Newegg genom en stationär DATOR eller en mobil enhet.
“Skimmer på betalning bearbetning själva sidan, inte i ett manus, så det inte skulle synas om inte betalning sidan var hit,” forskarna säger. “Att träffa den sidan innebär en kund gick igenom de två första stegen-de skulle inte kunna träffa kassan utan att sätta något i en kundvagn och in i en validerad adress.”
Skimmer koden innehåller samma komponenter som den kod som används i British Airways-ett dataintrång. Dock basecode var sammandrag i detta fall att endast 15 rader av skript.
RiskIQ
Skimmer kod var i drift under minst en månad och togs inte bort förrän den 18 September.
RiskIQ ledande threat intelligence analyst Yonathan Klijnsma berättade ZDNet att Volexity ut skimmer närvaro att Newegg på morgonen den 18: e, av vilka de skadliga skript togs bort av eftermiddagen.
Enligt Similarweb, handlaren tar emot över 50 miljon besök per månad. Det är möjligt hemlig operation har därför fastnat data av potentiellt miljontals Newegg kunder.
“RiskIQ automatiska upptäckter av instanser av Magecart överträdelser pingar oss nästan varje timme,” bolaget säger. “Samtidigt ser vi angripare utvecklas och förbättras över tiden, ställa sina platser på överträdelser av stora varumärken.”
“Medan vissa Magecart grupper fortfarande mål mindre butiker, en subgrupp som ansvarar för attacker mot Newegg och British Airways är särskilt djärvt, att utföra list välriktade attacker med fiskknivar att sömlöst integreras i deras mål webbplatser,” RiskIQ läggas till.
Mer Magecart täckning: Programföretaget ABS-CBN-kund stulna data, som skickas till ryska servrar | Feedify blir senaste offret för den Magecart malware kampanj | British Airways överträdelsen orsakats av samma grupp som träffas Ticketmaster | Ticketmaster brott var en del av en större kreditkort skimming ansträngning, visar en analys |
ZDNet har nått ut till Newegg och kommer att uppdatera om vi hör av sig igen.
Tidigare och relaterade täckning
British Airways överträdelsen orsakats av samma grupp som träffas Ticketmaster Feedify blir senaste offret för den Magecart malware kampanj Programföretag ABS-CBN-kund stulna data, som skickas till ryska servrar
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0