MyPillow och Amerisleep vakna upp till Magecart kort stöld mardröm

0
144

Dataintrång lämnar hundratals POS enheter som är infekterade med skadlig kod
Nästan 140 barer, restauranger och caféer över hela USA har haft POS-system är infekterade med skadlig kod.

Sömnen kan bli en värdefull råvara för it-team med uppgift att hantera efterdyningarna av två dataintrång tros vara Magecart.

MyPillow och Amerisleep är båda populära madrasser och sängkläder handlarna i Usa. Medan deras webbplatser skryta med den bästa erbjudandena runt för en ordentlig natts sömn, vad som saknas är en bekräftelse av två separata incidenter potentiellt påverka deras kunder — händelser som RiskIQ säger ägde rum så långt tillbaka som till år 2017.

Magecart är en produktiv hacka grupp med en viss förkärlek för att kompromissa online-betalningssystem och använder kort-skimming skadlig kod för att stjäla kundernas identitet.

Hacka gruppen tros vara ansvarig för dataintrång som sker på företag, inklusive British Airways, Newegg, Ticketmaster, Feedify, och Shopper Godkänt.

I ett blogginlägg på onsdag, RiskIQ forskare Yonathan Klijnsma sade företaget dokument “hundratals” av Magecart händelser på en daglig basis, men de flesta är inte offentliga.

De två påverkar MyPillow och Amerisleep, dock, är att notera.

MyPillow var riktad i oktober 2018. Magecart kunde äventyra bolagets e-handel och försäljning plattform för att skumma och stjäla kreditkortsuppgifter lämnades av kunder.

Hotet gruppen också registrerat en typosquatting domän, mypiltow.com och används Låt oss Kryptera att genomföra ett SSL-certifikat. Domänens namn, som lätt missas av de lockas till att besöka webbplatsen, är tillräckligt nära för att framstå som legitim och användning av sådana domäner är en vanlig taktik som används av hackare i strävan att stjäla online referenser.

“Baserat på vad RiskIQ ser vanligtvis är denna typ av registrering av domännamn typosquatting innebär att angriparna hade redan brutit mot MyPillow och började ställa upp infrastruktur i dess namn,” Klijnsma sagt.

Se även: EU: s offentliga webbplatser infekterad med tredje part adtech-skript

Ett skript attack tog sedan plats på den lagliga MyPillow domän. Manus, värd på huk domän, som ingår JavaScript-kod och en kraftigt förvrängd skimmer.

I slutet av månaden, Magecart hade gått vidare till steg två. En ny webbplats var registrerat, livechatinc.org som stod som live-support Livechat används av MyPillow. Skadliga skript nu fast förankrade i MyPillow då var modifierade för att innehålla ett nytt script-tagg som liknade den äkta taggen används av den live-support-service.

Skimmer var sista identifierats som aktiva på November 19, 2018.

MyPillow VD Mike Lindell bekräftade överträdelser till syster sajten CNET, som säger att en utredning “finns ingen indikation på att brottet var effektiv eller att någon kunders information äventyras.”

Kunder som aldrig blev informerade. I AmeriSleep är fallet, kunder har också hållits helt ovetande om någon av Magecart kompromiss — och detta brott är fortfarande pågående.

TechRepublic: Säkerhetsproblem i SoftNAS Cloud gör det möjligt för angripare att kringgå autentisering

AmeriSleep incident verkar vara mer allvarliga och går tillbaka till April 2017. Ett skript var injiceras i företagets webbplats, ett skimmer genomfördes, och falska domäner var också används för att vara värd den skadliga koden ligger till grund attacken.

Det tros de första skumma verksamheten pågick från April-oktober 2017. Amerisleep var då klara av alla fiskknivar fram till December 2018, när företaget, som än en gång föll offer för hot mot grupp.

I den andra omgången av skumma, Magecart används en ny installation genom att registrera GitHub sidor under Amerisleep namn. Kontots adress, amerisleep.github.io, värd för den kod som krävs för att fortsätta att kompromissa med webbplatsen.

Medan romanen, användningen av en tjänst som GitHub sett till att sidan var snabbt bort och Magecart gick tillbaka till att använda sina egna kolonist domäner.

I januari, hackare ändrade då taktik igen, kanske som ett sätt att smälta in, genom att endast aktivera skript på betalning sidor snarare än varje Amerisleep sida.

It-företaget säger att medan skimmer domän har nu varit offline, injektion är fortfarande närvarande och levande.

“Försök att informera Amerisleep genom deras supportavdelning och direkt via e-post har gått obesvarade,” RiskIQ säger.

Det har inte kommit något svar från AmeriSleep begär att kommentera i skrivande stund.

RiskIQ säger att det finns inga tecken på en avmattning i Magecart aktiviteter och Små och medelstora företag kan vara den de flesta på risken för kompromiss. Tidigare forskning som bedrivs av säkerhet forskare Willem de Groot tyder på att man i fem Magecart-infekterade butiker blivit återinfekterade snabbt, med en genomsnittlig nytt angrepp gången för drygt tio dagar.

CNET: Huawei kontrovers: Allt du behöver veta

“Med den ökade effektiviteten av kredit-kort skumma grupper, den tid det tar för ett stort antal konsumenter att få sina personuppgifter stulna, till synes från ingenstans, minskar snabbt,” firman lagts till. “Magecart har aktiverats på det faktum att de säkerhetskontroller av små företag som tillhandahåller tjänster för att förbättra webbplatser av globala varumärken som är långt mindre utvecklat än de säkerhetskontroller av den globala varumärken sig själva.”

Tidigare och relaterade täckning

Globala hot-gruppen Fin7 tillbaka med nya SQLRat malware
CUJO Smart Brandvägg sårbarheter som utsätts nätverk hem till kritiska attacker
Bank hackare laget upp för att sprida finansiella Trojaner i hela världen

Relaterade Ämnen:

Säkerhet-TV

Hantering Av Data

CXO

Datacenter