La violazione dei dati, foglie di centinaia di unità POS infettati con il malware
Quasi 140 bar, ristoranti, caffè e negozi di tutti gli stati UNITI hanno avuto POS sistemi infettati con malware.
Il sonno può diventare un bene prezioso per la cybersecurity team incaricati di trattare con le conseguenze di due violazioni di dati crede di essere il lavoro di Magecart.
MyPillow e Amerisleep sono entrambi popolari di materassi e biancheria da letto mercanti, negli Stati Uniti. Mentre i loro siti web vantano le migliori offerte per un corretto riposo notturno, quello che manca è il riconoscimento di due distinti incidenti di sicurezza potenzialmente influire sulle loro clienti, gli incidenti che RiskIQ dice che ha avuto luogo nel lontano 2017.
Magecart è un prolifico gruppo di hacker con una particolare predilezione per compromettere i sistemi di pagamento online e l’utilizzo di carta di scrematura malware per rubare clienti credenziali.
Il gruppo di hacker si crede di essere responsabile per le violazioni di dati che si verificano presso le aziende tra cui British Airways, Newegg, Ticketmaster, Feedify e Shopper Approvato.
In un post sul blog mercoledì, RiskIQ ricercatore Yonathan Klijnsma ha detto che la società di documenti di “centinaia” di Magecart incidenti su una base quotidiana, ma la maggior parte non sono resi pubblici.
I due incidono MyPillow e Amerisleep, tuttavia, sono di nota.
MyPillow stato preso di mira nel mese di ottobre 2018. Magecart è stato in grado di compromettere la società di e-commerce e la piattaforma di vendita con lo scopo di scrematura e furto della carta di credito forniti dai clienti.
La minaccia di gruppo, inoltre, ha registrato un typosquatting di dominio, mypiltow.com e utilizzato Let’s Encrypt per implementare un certificato SSL. Il nome del dominio, il che potrebbe facilmente essere perso da quelli attratti a visitare il sito, è abbastanza vicino per sembrare legittimo e l’uso di tali ambiti è una tattica comune utilizzato dagli hacker nel tentativo di rubare online credenziali.
“Sulla base di ciò che RiskIQ vede in genere, questo tipo di registrazione del dominio typosquatting significa che gli aggressori avevano già violato MyPillow e ha avviato la costituzione di infrastrutture nella il suo nome,” Klijnsma detto.
Vedi anche: governo dell’UE, siti web, infestato di terze parti adtech script
Un attacco di inserimento di script poi ha preso posto sul legittimo MyPillow dominio. Lo script, ospitato su squatting dominio, contenuti di codice JavaScript e pesantemente offuscato skimmer.
Entro la fine del mese, Magecart erano passate alla fase due. Un nuovo sito è stato registrato, livechatinc.org che accovacciato come il servizio di assistenza live Livechat utilizzato da MyPillow. Lo script dannoso ormai saldamente radicato nel MyPillow è stato poi modificato per contenere un nuovo tag script che imitavano l’autentica tag utilizzato dal servizio di assistenza live.
Lo skimmer ultimo è stato riconosciuto come attivo il 19 novembre del 2018.
MyPillow CEO Mike Lindell ha confermato la violazione di suor sito CNET, dicendo che una successiva indagine “trovato alcuna indicazione del fatto che la violazione è stata efficace, o che tutte le informazioni dei clienti è stata compromessa.”
I clienti non sono mai stati informati. In AmeriSleep caso, i clienti sono anche stati tenuti completamente all’oscuro di qualsiasi Magecart compromesso e questa violazione è ancora in corso.
TechRepublic: una Vulnerabilità in SoftNAS Cloud consente agli aggressori di bypassare l’autenticazione
AmeriSleep dell’incidente sembra essere più grave e risale all’aprile del 2017. Uno script è stato iniettato il sito web dell’azienda, uno skimmer è stato implementato, e falsi domini sono stati utilizzati anche per ospitare il codice dannoso alla base dell’attacco.
Si ritiene che la prima scrematura operazione effettuata da aprile — ottobre 2017. Amerisleep era quindi chiaro di qualsiasi skimmer fino a dicembre 2018, quando la società, ancora una volta, cadde preda alla minaccia di gruppo.
Nel secondo turno di scrematura, Magecart utilizzato una nuova installazione da registrazione su GitHub pages sotto Amerisleep nome. Il conto, come l’indirizzo amerisleep.github.io, ospitato il codice necessario per continuare a compromettere il sito.
Mentre il romanzo, l’utilizzo di un servizio come GitHub ha assicurato che la pagina è stata rimossa rapidamente e Magecart hanno usato il loro squatter domini.
Nel mese di gennaio, gli hacker poi cambiò tattica, ancora una volta, potenzialmente come un mezzo per integrarsi, da solo attivando lo script sulla pagina di pagamento, piuttosto che ogni Amerisleep pagina.
La cybersecurity società afferma che, mentre il separatore di dominio ora è stato messo offline, l’iniezione è ancora presente e vivo.
“I tentativi di informare Amerisleep attraverso il loro supporto e direttamente via email è andato senza risposta,” RiskIQ dice.
Non c’è stata alcuna risposta da AmeriSleep per le richieste di commento, al momento della scrittura.
RiskIQ dice che non ci sono indicazioni di un rallentamento Magecart attività e piccole e medie imprese potrebbero essere più a rischio di compromissione. Una precedente ricerca condotta dal ricercatore di sicurezza Willem de Groot suggerisce che uno in cinque Magecart infetti negozi di diventare infettato rapidamente, con una media di reinfezione tempo di poco più di dieci giorni.
CNET: Il Huawei polemiche: Tutto ciò che devi sapere
“Con l’aumento di efficienza, di carte di credito scrematura gruppi, il tempo necessario per un gran numero di consumatori di avere i propri dati rubati, apparentemente dal nulla, sta diminuendo rapidamente,” la ditta ha aggiunto. “Magecart ha sfruttato il fatto che i controlli di sicurezza di piccole aziende che forniscono servizi per migliorare i siti web dei marchi globali, sono molto meno sviluppato rispetto ai controlli di sicurezza globale stessi marchi.”
Precedente e relativa copertura
La minaccia globale del gruppo Fin7 torna con nuovi SQLRat malware
CUJO Smart Firewall vulnerabilità esposti casa reti per gli attacchi critici
Banca hacker del team con lo scopo di diffondere finanziari Trojan in tutto il mondo
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati