Data breach bladeren honderden POS eenheden geïnfecteerd met malware
Bijna 140 bars, restaurants en winkels van de koffie in de VS hebben gehad kassasystemen met malware geïnfecteerd.
Slapen kan een waardevolle grondstof voor de cyberveiligheid teams die belast is met het omgaan met de nasleep van de twee data-inbreuken vermoedelijk het werk van Magecart.
MyPillow en Amerisleep zijn beide populaire matrassen en beddengoed handelaren in de Verenigde Staten. Terwijl hun websites hebben de beste deals rond voor een goede nachtrust, wat ontbreekt is een erkenning van twee aparte security-incidenten die mogelijk van invloed zijn hun klanten — incidenten die RiskIQ zegt plaatsvond zover terug als in 2017.
Magecart is een productieve hacken van de groep met een voorliefde voor het compromitteren van online betaling systemen en het gebruik van kaart-skimming malware te stelen klant referenties.
Het hacken van de groep wordt verondersteld verantwoordelijk te zijn voor datalekken voorkomen bij bedrijven, waaronder British Airways, Uitvoering, Ticketmaster, Feedify, en Shopper Goedgekeurd.
In een blog post op woensdag, RiskIQ onderzoeker Yonathan jetta klijnsma. zei het bedrijf documenten “honderden” van Magecart incidenten op een dagelijkse basis, maar de meerderheid niet openbaar worden gemaakt.
De twee botsende MyPillow en Amerisleep, echter, zijn van de nota.
MyPillow was gericht in oktober 2018. Magecart was in staat om compromissen te sluiten van het bedrijf e-commerce en verkoop platform voor het doel van skimming en het stelen van creditcard gegevens die door klanten.
De dreiging groep registreerde ook een typosquatting domein, mypiltow.com en gebruikt Laten we Coderen voor het implementeren van een SSL-certificaat. De domein naam, die gemakkelijk kunnen worden gemist door deze verleiden tot een bezoek aan de website, is dicht genoeg om te verschijnen legitiem en het gebruik van deze domeinen is een gemeenschappelijke tactiek gebruikt door hackers in de zoektocht naar het stelen van online referenties.
“Op basis van wat RiskIQ ziet meestal is dit type van domein registratie typosquatting betekent dat de aanvallers al had geschonden MyPillow en begonnen met het opzetten van de infrastructuur in zijn naam,” zei jetta klijnsma..
Zie ook: EU-websites van de overheid besmet met derden adtech scripts
Een script injectie aanval nam vervolgens plaats op de legitieme MyPillow domein. Het script wordt gehost op de hurken domein, opgenomen JavaScript-code en een zwaar obfuscated skimmer.
Door het einde van de maand, Magecart waren verhuisd naar fase twee. Een nieuwe website werd geregistreerd, livechatinc.org die gekraakt als de live support service Livechat gebruikt door MyPillow. Het kwaadaardige script nu stevig verankerd in MyPillow werd vervolgens aangepast aan een nieuw script-tag die deed de echte tag gebruikt door de live support service.
De skimmer werd het laatst gedetecteerde zo actief op November 19, 2018.
MyPillow CEO Mike Lindell bevestigd dat de inbreuk op zustersite CNET, zeggende dat een volgend onderzoek vond geen aanwijzing dat de inbreuk effectief was of dat enige informatie van klanten is aangetast.”
Klanten waren nooit op de hoogte gebracht. In AmeriSleep het geval is, hebben klanten ook hield zich totaal niet bewust van enig Magecart compromis — en deze strijd is nog steeds gaande.
TechRepublic: Beveiligingsprobleem in SoftNAS Cloud biedt aanvallers de mogelijkheid te omzeilen verificatie
AmeriSleep het incident lijkt te zijn van meer ernstige en dateert van April 2017. Een script is geïnjecteerd in de firma ‘ s website, een skimmer is uitgevoerd, en valse domeinen werden ook gebruikt voor het hosten van de kwaadaardige code die ten grondslag liggen aan de aanval.
Het is geloofden dat de eerste afromen van de operatie liep van April — oktober 2017. Amerisleep was toen duidelijk van skimmers tot December 2018, wanneer de onderneming, eens te meer, ten prooi zijn gevallen aan de dreiging van de groep.
In de tweede ronde van skimming, Magecart gebruikt een nieuwe instellen door het registreren van GitHub pagina ‘ s onder Amerisleep naam. De account-adres, amerisleep.github.io, gastheer van de code die nodig is om verder het compromitteren van de website.
Terwijl de roman, het gebruik van een dienst zoals GitHub voor gezorgd dat de pagina werd snel verwijderd, en Magecart gingen terug naar hun eigen kraker domeinen.
In januari, de hackers vervolgens veranderde de tactiek nogmaals, mogelijk als een middel om zich te mengen in, door alleen maar het activeren van het script op de betaling pagina ‘ s plaats van elke Amerisleep pagina.
De cybersecurity bedrijf zegt dat, terwijl de skimmer domein is inmiddels offline gehaald, de injectie is nog steeds aanwezig en te leven.
“Pogingen om te informeren Amerisleep via hun support desk en direct via e-mail is gegaan onbeantwoord,” RiskIQ zegt.
Er is geen reactie van AmeriSleep voor verzoeken om commentaar te geven op het moment van schrijven.
RiskIQ zegt dat er geen indicaties zijn van een vertraging in Magecart activiteiten en het Mkb mogelijk worden de meeste risico ‘ s van het compromis. Eerder onderzoek door security-onderzoeker Willem de Groot stelt dat één op de vijf Magecart-geïnfecteerde winkels worden opnieuw besmet raken snel, met een gemiddelde herinfectie tijd van iets meer dan tien dagen.
CNET: De Huawei controverse: Alles wat je moet weten
“Met de toegenomen efficiëntie van credit-card afromen van de groepen, de tijd die het duurt voor een groot aantal consumenten dat hun gegevens zijn gestolen, schijnbaar uit het niets, is het verminderen van snel,” het bedrijf toegevoegd. “Magecart heeft geprofiteerd van het feit dat de beveiligingscontroles van kleine bedrijven die diensten leveren aan het verbeteren van de websites van de wereldwijde merken veel minder ontwikkeld dan de beveiligingscontroles van de wereldwijde merken zelf.”
Vorige en aanverwante dekking
Global threat groep Fin7 terug met nieuwe SQLRat malware
CUJO Slimme Firewall kwetsbaarheden bloot home netwerken voor kritische aanvallen
Bank hackers team verspreid financiële Trojaanse paarden wereldwijd
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters