Magecart, een beruchte groep cybercriminelen die bekend staan om hun vaardigheid in het stelen van gevoelige gegevens van e-commercewebsites, heeft een sluw plan onthuld dat misbruik maakt van een ogenschijnlijk onschadelijk onderdeel van het internet: de 404-foutpagina. Deze innovatieve tactiek, ontdekt door de Akamai Security Intelligence Group, is een van de drie varianten die door Magecart worden gebruikt en houdt in dat kwaadaardige code wordt verborgen in de digitale afgrond van 404-foutpagina’s om op heimelijke wijze de creditcardgegevens van klanten te stelen.
Hoe zijn 404-pagina’s de speeltuin van cybercriminelen geworden?
Bij deze cyberaanval, georkestreerd door de Magecart-groep, manipuleren hackers de 404-foutpagina van een website: de pagina die wordt weergegeven wanneer een webpagina niet bestaat of een verbroken link heeft. Ze verbergen kwaadaardige code op deze ogenschijnlijk onschadelijke pagina om creditcardgegevens van nietsvermoedende bezoekers te stelen. De verborgen code presenteert een nepformulier aan gebruikers, waarin ze worden gevraagd gevoelige creditcardgegevens in te voeren. Deze gestolen gegevens worden vervolgens heimelijk naar de hackers verzonden, vermomd als onschuldige beeldverzoeken. De innovatieve aanpak maakt detectie een uitdaging en benadrukt de noodzaak van robuuste cyberbeveiligingsmaatregelen om online transacties en gebruikersinformatie te beschermen.
Laten we eens kijken naar de details van hoe deze Magecart-kaartskimming-hack, die misbruik maakt van 404-foutpagina’s, feitelijk werkt:
- Doelselectie: De eerste stap voor Magecart-hackers is het identificeren van hun doelwitten, waaronder voornamelijk e-commercewebsites die zijn gebouwd op populaire platforms zoals Magento en WooCommerce. Sommige slachtoffers van deze campagne zijn prominente organisaties in de voedings- en detailhandelssector.
- Verbergen van kwaadaardige code: Zodra een doelwit is gekozen, gebruiken de hackers een innovatieve techniek. Ze manipuleren de 404-foutpagina van de website, de pagina die bezoekers zien wanneer ze proberen toegang te krijgen tot een webpagina die niet bestaat, is verplaatst of een dode link bevat.
- Verbergen in duidelijk zicht: In plaats van hun kwaadaardige code rechtstreeks in de code van de website in te voegen, verbergen de Magecart-acteurs deze op de 404-foutpagina. Deze tactiek is bijzonder slim omdat deze niet is gezien in eerdere Magecart-campagnes. Door dit te doen, hebben ze een nieuwe manier om detectie te omzeilen.
- De skimmerlader: De skimmerloader is een cruciaal onderdeel van de aanval. Het kan verschillende vermommingen aannemen, zoals verschijnen als een Meta Pixel-codefragment of verbergen in reeds bestaande inline-scripts op de gecompromitteerde betaalpagina.
- Niet-bestaande bronnen ophalen: De lader initieert een ophaalverzoek naar een relatief pad met de naam ‘icons’. Dit pad bestaat niet op de beoogde website, wat resulteert in de foutmelding ‘404 Not Found’. Op het eerste gezicht lijkt het misschien een onschuldige fout of een inactieve skimmer.
- Gehuld in HTML-opmerkingen: Bij nadere inspectie bevat de lader echter een reguliere expressie-overeenkomst die zoekt naar een specifieke tekenreeks in de HTML van de 404-foutpagina. Wanneer het deze string vindt, onthult het een aaneengeschakelde, met base64 gecodeerde string die slim verborgen is in een HTML-opmerking.
- Kwaadaardig JavaScript onthuld: Deze met base64 gecodeerde reeks onthult, wanneer deze wordt gedecodeerd, de JavaScript-skimmer, die is ontworpen om verborgen te blijven op alle 404-foutpagina’s.
- Verborgen data-exfiltratie: Als de skimmer actief is, presenteert deze een nepformulier aan websitebezoekers. Dit misleidende formulier vraagt gebruikers om gevoelige informatie in te voeren, waaronder hun creditcardnummer, vervaldatum en beveiligingscode. Zonder dat het slachtoffer het weet, ontvangt hij op het moment dat hij deze gegevens invoert een valse ‘sessietime-out’-foutmelding.
- Gegevensexfiltratie: Op de achtergrond wordt alle gestolen informatie base64-gecodeerd en via een afbeeldingsverzoek-URL naar de aanvaller verzonden, met de string als queryparameter. Deze misleidende aanpak maskeert de data-exfiltratie als een ogenschijnlijk onschuldige gebeurtenis voor het ophalen van afbeeldingen, waardoor het lastig wordt voor monitoringtools voor netwerkverkeer om deze te identificeren.
- Gestolen informatie: Bij het decoderen van de base64-string krijgt de aanvaller echter toegang tot persoonlijke en creditcardgegevens, wat mogelijk kan leiden tot identiteitsdiefstal en financieel verlies voor de slachtoffers.
Deze geavanceerde aanval benadrukt de evoluerende tactieken van Magecart-hackers, die voortdurend nieuwe manieren vinden om hun kwaadaardige code te verbergen en de veiligheid van online winkels in gevaar te brengen. Het onderstreept de noodzaak van verhoogde waakzaamheid bij het beschermen van gevoelige informatie en de noodzaak van robuuste cyberbeveiligingsmaatregelen om zowel bedrijven als consumenten te beschermen in een steeds digitalere wereld.
Voor meer gedetailleerde informatie hierover, lees de ambtenaar rapport.
Uitgelichte afbeeldingscredits: Erik Mclean/Unsplash
Source: Hackers beginnen 404-foutpagina’s te gebruiken om creditcards te stelen