Segway Terkena Serangan Magecart Bersembunyi di Favicon

Segway, pembuat transporter bermotor pribadi yang ikonik – dan banyak dipalsukan – yang akrab dengan tur kota berpemandu di mana-mana, telah menyajikan skimmer pemanenan kartu kredit yang buruk melalui situs webnya yang kemungkinan terkait dengan Grup Magecart 12.

Itu menurut Malwarebytes, yang mencatat bahwa “Kami telah memberi tahu Segway agar mereka dapat memperbaiki situs mereka, tetapi menerbitkan blog ini sekarang untuk meningkatkan kesadaran.” Segway, yang sekarang dimiliki oleh perusahaan China Ninebot, tidak segera mengembalikan permintaan konfirmasi bahwa situs tersebut telah dibersihkan.

Magecart adalah istilah umum yang mencakup berbagai kelompok terafiliasi dari penjahat dunia maya bermotivasi finansial yang semuanya menggunakan malware skimming serupa untuk mengumpulkan informasi – khususnya informasi kartu pembayaran – yang dimasukkan pembeli ke halaman checkout di situs web eCommerce. Magecart 12 adalah salah satu iterasi terbaru dari grup, yang dikenal secara konsisten mengubah taktiknya.

Biasanya, di seluruh grup Magecart, skimmer disuntikkan ke situs web pedagang yang tidak curiga dengan mengeksploitasi versi rentan dari platform eCommerce populer, seperti iterasi usang dari Magento atau WooCommerce. Itulah yang peneliti yakini mungkin terjadi di sini.

“Meskipun kami tidak tahu bagaimana situs Segway disusupi, penyerang biasanya akan menargetkan kerentanan di CMS itu sendiri atau salah satu pluginnya,” tim menjelaskan, dalam posting Senin. “Nama host di store.segway[.]com menjalankan Magento, sistem manajemen konten (CMS) populer yang digunakan oleh banyak situs eCommerce dan juga favorit di antara pelaku ancaman Magecart.”

Dalam hal karakteristik khusus kampanye ini, analis Malwarebytes memperkirakan bahwa skimmer telah aktif sejak sekitar 6 Januari, dan sejauh ini telah mengekspos korban di Amerika Serikat (yang merupakan 55 persen dari pengunjung situs), Australia (39 persen), Kanada (3 persen), Inggris (2 persen) dan Jerman (1 persen).

“Kompromi dari toko Segway adalah pengingat bahwa bahkan merek terkenal dan tepercaya dapat terpengaruh oleh serangan Magecart,” kata Malwarebytes. “Meskipun biasanya lebih sulit bagi pelaku ancaman untuk menembus situs web besar, hasilnya sepadan.”

Hiding Inside a Favicon

Researchers men-debug loader skimmer dan mampu mengungkapkan URL command-and-control (C2), booctstrap[ .]com, yang merupakan domain skimmer terkenal yang telah aktif sejak November. Mereka juga mengamati sepotong JavaScript, yang disamarkan sebagai file bernama “Hak Cipta,” yang sebenarnya tidak berbahaya tetapi memuat skimmer secara dinamis. Pendekatan ini berarti bahwa skimmer tidak terlihat oleh siapa pun yang memeriksa kode sumber HTML, jelas mereka.

Juga menarik adalah fakta bahwa pelaku ancaman menyematkan skimmer di dalam file favicon.ico. Favicons adalah gambar ikon kecil yang tertaut ke situs web lain.

“Jika Anda melihatnya, Anda tidak akan melihat apa pun karena gambar tersebut dimaksudkan untuk dipertahankan,” menurut postingan tersebut. “Namun, ketika Anda menganalisis file dengan editor hex, Anda akan melihat bahwa itu berisi JavaScript yang dimulai dengan fungsi evaluasi.”

Uriel Maimon, direktur senior teknologi baru di perusahaan keamanan siber PerimeterX, mencatat bahwa jenis inovasi ini menjadi lebih umum. .

“Penyerang Magecart terus [untuk] menjadi lebih kreatif dengan teknik mereka untuk menghindari deteksi, terutama mengingat kemajuan dalam solusi keamanan selama bertahun-tahun,” katanya melalui email. “Dengan menyembunyikan skrip skimmer di dalam favicon yang berpura-pura menampilkan hak cipta situs, baik tinjauan kode manual, analisis kode statis, atau pemindai tidak dapat mendeteksinya dengan mudah.” – itu dipangkas dalam kampanye setidaknya sejak 2020, termasuk yang dilakukan oleh Magecart 12.

Selanjutnya, kelompok penjahat dunia maya Magecart secara keseluruhan telah beroperasi selama beberapa tahun dan telah menelusuri banyak organisasi besar, mencuri nama, email, informasi kartu kredit, dan lebih banyak lagi, yang semuanya dijual di Dark Web untuk mendapatkan keuntungan. Aktivitas mereka sangat gencar: Laporan Risk IQ baru-baru ini pada bulan Desember menemukan bahwa serangan Magecart di situs web terjadi setiap 16 detik sekali.

Karena semua itu, pedagang eCommerce harus berasumsi bahwa mereka menjadi sasaran, kata James McQuiggan, advokat kesadaran keamanan di KnowBe4.

“Dalam situasi ini, penjahat dunia maya…memiliki sekitar enam belas baris kode yang disuntikkan ke dalam aplikasi untuk pemrosesan kartu kredit,” kata McQuiggan melalui email. “Organisasi harus memantau lalu lintas web untuk aplikasi yang mengirim data ke lokasi yang tidak diketahui. Program manajemen perubahan yang kuat untuk memantau perubahan kode pada situs dan produk pihak ketiga dapat mengurangi risiko serangan yang berhasil dan mempertahankan ketahanan dunia maya yang kuat.” Bisnis

E-commerce juga dapat menggunakan solusi pemantauan waktu nyata yang mendeteksi akses ke bidang sensitif dan upaya untuk mengekstrak informasi pengenal pribadi dari sisi klien, kata Maimon PerimeterX.

“Penting bagi pengguna Magento untuk memahami kebutuhan untuk mengganggu siklus hidup serangan web dengan menghentikan pencurian informasi akun dan identitas dari situs mereka, dan menerapkan solusi untuk membantu hal itu,” jelasnya. “Mengambil tindakan sebelum terlambat juga akan membantu mencegah kerusakan reputasi merek serta membatasi potensi tanggung jawab atas ketidakpatuhan.”