Bruddet blade hundredvis af POS-enheder inficeret med malware
Næsten 140 barer, restauranter og caféer over hele USA har haft POS systemer er inficeret med malware.
Søvn kan blive en værdifuld handelsvare for cybersikkerhed teams opgave beskæftiger sig med eftervirkningerne af to brud på datasikkerheden, som menes at være udført af Magecart.
MyPillow, og Amerisleep er både populære madrasser og sengetøj købmænd i Usa. Mens deres hjemmesider prale af de bedste tilbud rundt til en ordentlig nats søvn, hvad der mangler, er en anerkendelse af to separate sikkerhedsmæssige hændelser, der potentielt påvirke deres kunder — hændelser, som RiskIQ siger fandt sted så langt tilbage som i 2017.
Magecart er en produktiv hacking gruppe med en særlig forkærlighed for at gå på kompromis online betalingssystemer og ved hjælp af kort-skimming malware til at stjæle kunde legitimationsoplysninger.
Hacking gruppen menes at være ansvarlig for brud på datasikkerheden, som opstår på virksomheder, herunder British Airways, Newegg, Ticketmaster, Feedify, og Shopper Godkendt.
I et blog-indlæg på onsdag, RiskIQ forsker Yonathan Klijnsma sagde, at virksomhedens dokumenter “hundredvis” af Magecart hændelser på en daglig basis, men de fleste er ikke offentliggjort.
De to påvirker MyPillow, og Amerisleep, men er af note.
MyPillow var målrettet i oktober 2018. Magecart var i stand til at kompromittere virksomhedens e-handel og salg platform til formål at skumme og stjæle kreditkort oplysninger er indsendt af kunder.
Truslen gruppe også er registreret et typosquatting domæne, mypiltow.com og brugt Lad os Kryptere at gennemføre et SSL-certifikat. Domænets navn, som nemt kunne blive savnet af dem, der lokkes til at besøge hjemmesiden, er tæt nok til at fremstå som legitime, og brugen af sådanne domæner er en fælles taktik, der anvendes af hackere i forsøget på at stjæle online legitimationsoplysninger.
“Baseret på, hvad RiskIQ ser typisk, at denne type af typosquatting domæne registrering betyder, at angriberne allerede havde overtrådt MyPillow, og begyndte at etablere infrastruktur i sit navn,” Klijnsma sagde.
Se også: EU ‘ s offentlige hjemmesider befængt med tredje-part, adtech scripts
Et script injection angreb derefter fandt sted på den legitime MyPillow domæne. Det script, der er hostet på hug domæne, der er indeholdt JavaScript-kode og et stærkt korrumperet skimmer.
Ved udgangen af den måned, Magecart havde gået videre til fase to. En ny hjemmeside blev registreret, livechatinc.org, som sad på hug som live support service Livechat, der anvendes af MyPillow. Det skadelige script, nu solidt forankret i MyPillow blev derefter ændret til at indeholde et nyt script-tag, som efterlignede den ægte tag, der anvendes af live support service.
Skimmer blev sidst registreret som aktive på November 19, 2018.
MyPillow CEO Mike Lindell bekræftet bruddet til søster-site CNET, siger, at en efterfølgende undersøgelse “fandt ingen tegn på, at bruddet var effektive, eller at nogen kunder’ oplysninger blev kompromitteret.”
Kunderne blev aldrig informeret. I AmeriSleep ‘ s tilfælde, har kunderne også blevet holdt helt uvidende om eventuelle Magecart kompromis-og dette brud er stadig igangværende.
TechRepublic: Svaghed i SoftNAS Cloud muligt for fjernangribere at omgå autentifikation,
AmeriSleep hændelse synes at være mere alvorlige og går tilbage til April 2017. Et script blev injiceret i virksomhedens website, en hulske blev gennemført, og falske domæner blev også brugt til at være vært for den ondsindede kode, der underbygger angreb.
Det menes, at den første skimning operation løb fra April — oktober 2017. Amerisleep var så klart af eventuelle forplove indtil December 2018, når virksomheden igen, faldt bytte til truslen gruppe.
I anden runde af skimming, Magecart anvendes en ny opsætning ved at registrere GitHub sider under Amerisleep ‘ s navn. Den konto, adresse, amerisleep.github.io, var vært ved den kode, der kræves for at fortsætte med at gå på kompromis hjemmesiden.
Mens roman, brug af en tjeneste, f.eks GitHub sikres, at den side, der hurtigt blev fjernet og Magecart gik tilbage til at bruge deres egne bz ‘ domæner.
I januar, hackere, så skiftede taktik igen, muligvis som et middel til at blande sig i, ved kun at aktivere scriptet på betalings sider snarere end hver Amerisleep side.
Cybersikkerhed virksomhed siger, at mens du skimmer domæne er nu blevet taget offline, injektion er stadig til stede og i live.
“Forsøg på at informere Amerisleep gennem deres support og direkte via email er forblevet ubesvaret,” RiskIQ siger.
Der har ikke været nogen reaktion fra AmeriSleep for anmodninger til at kommentere på tidspunktet for skrivning.
RiskIQ siger, at der er ingen tegn på en afmatning i Magecart aktiviteter og små og mellemstore virksomheder kan være den største risiko for at gå på kompromis. Tidligere forskning udført af sikkerhedsekspert Willem de Groot tyder på, at én ud af fem Magecart-inficeret butikker bliver inficeret igen hurtigt, med et gennemsnit reinfektion tid på lige over ti dage.
CNET: Huawei kontrovers: Alt, hvad du behøver at vide
“Med den øgede effektivitet af kredit-kort skumme grupper, den tid det tager for et stort antal forbrugere til at have deres data stjålet, tilsyneladende ud af ingenting, er faldende hurtigt,” firmaet tilføjet. “Magecart har udnyttet det faktum, at den sikkerhed, kontrol af små virksomheder, der leverer tjenester til at forbedre hjemmesider globale brands er langt mindre udviklet end den sikkerhed, kontrol af den globale mærker sig selv.”
Tidligere og relaterede dækning
Global trussel gruppe Fin7 vender tilbage med nye malware SQLRat
CUJO Smart Firewall sårbarheder udsat hjemme-netværk til kritiske angreb
Bank hackere hold op med at sprede finansielle Trojanske heste på verdensplan
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre