idNSA.id - Operasi pencurian kartu kredit yang baru-baru ini ditemukan, Magecart, telah mengadopsi pendekatan inovatif dengan memanfaatkan situs web asli sebagai server C2 darurat.
Strategi ini memungkinkan mereka untuk secara ilegal menanamkan dan menyembunyikan malware skimming dalam situs web eCommerce tertentu.
Selama proses checkout, peretas melakukan serangan Magecart dengan melanggar toko online dan menanamkan skrip berbahaya yang dirancang untuk secara diam-diam memanen detail kartu kredit dan informasi pribadi pelanggan.
Serangan Skala Besar & Jangka Panjang
Sesuai pemantauan rajin yang dilakukan oleh para peneliti Akamai pada kampanye khusus ini, banyak organisasi di negara-negara berikutnya telah menjadi korban kompromi yaitu, Amerika Serikat, Britania Raya, Australia, Brazil, Peru dan Esronia.
Selain itu, perusahaan
cybersecurity menyoroti pengamatan penting bahwa banyak korban tetap tidak
mengerti fakta bahwa mereka telah dikompromikan selama lebih dari sebulan,
menunjukkan sifat rahasia dari serangan ini.
Serangan skimming web menimbulkan ancaman signifikan bagi organisasi yang beroperasi di ranah perdagangan digital, membawa potensi bahaya besar dan konsekuensi yang merugikan.
Analis keamanan siber di Akamai mengidentifikasi bahwa pelaku ancaman telah mengeksploitasi beberapa platform utama, dan di antaranya, Magento, WooCommerce, Wordpress, Shopify
Infrastruktur Serangan
Aspek yang mencolok dari kampanye
ini terletak pada pengaturan infrastruktur penyerang yang cermat, yang
dirancang khusus untuk mengatur kampanye web skimming dengan kemanjuran yang
luar biasa.
Dalam keberangkatan strategis
dari metode konvensional, alih-alih mengandalkan server perintah-dan-kontrol
(C2) mereka sendiri, yang berpotensi menimbulkan kecurigaan sebagai domain
berbahaya, para penyerang mengadopsi pendekatan yang berbeda.
Dengan mengeksploitasi kerentanan atau menggunakan cara apa pun yang tersedia, mereka menyusup ke situs web yang rentan dan sah, terutama platform ritel kecil atau menengah, tempat mereka secara diam-diam menyematkan kode berbahaya mereka.
Pada intinya, kampanye ini menghasilkan dampak ganda, menghasilkan dua kelompok korban yang berbeda, dan inilah mereka host victims dan web skimming victims.
Selama penyelidikan mereka, para
peneliti Akamai mengidentifikasi pilihan terbatas situs web yang berfungsi
sebagai target utama, yang semuanya secara eksklusif berkaitan dengan platform
berorientasi perdagangan.
Situs web host yang dieksploitasi
digunakan sebagai host untuk kode berbahaya dan menjadi sasaran serangan
skimming web gaya Magecart, yang mengarah pada pencurian informasi pengguna.
Diam-diam serangan ditingkatkan oleh aktor ancaman yang mengaburkan skimmer dengan pengkodean Base64, menyembunyikan URL host, dan menyusunnya agar menyerupai layanan pihak ketiga tepercaya seperti Google Tag Manager atau Facebook Pixel, meminimalkan kecurigaan.
Melalui pendekatan ini, penyerang
menerapkan tiga teknik berbeda yang bertujuan menghindari deteksi dan tetap
tidak terdeteksi, dan di sini mereka disebutkan di bawah ini:
Domain yang digunakan dalam
serangan itu dikaburkan, membuatnya sulit untuk dilacak dan diidentifikasi.
Loader menyamar sebagai skrip
atau vendor pihak ketiga yang otentik, menyembunyikan niat jahatnya yang
sebenarnya.
Dengan mengambil sebagian besar kode dari asal alternatif, penyerang meminimalkan volume kode berbahaya yang disuntikkan pada halaman, secara signifikan mengurangi kemungkinan deteksi.
Analisis Pencurian Data
Penyerang menggunakan kebingungan
untuk menghambat debugging dan penelitian, sengaja membuatnya sulit untuk
memahami urutan serangan yang tepat, sebuah praktik yang diadopsi secara luas
dalam berbagai serangan web skimming yang, dalam beberapa tahun terakhir, telah
menjadi semakin populer.
Versi pertama adalah formulir yang sangat dikaburkan yang mencakup daftar pemilih CSS yang disesuaikan yang dirancang khusus untuk setiap situs yang ditargetkan untuk menangkap PII pelanggan dan informasi kartu kredit.
Varian kedua skimmer memiliki
perlindungan yang lebih rendah, secara tidak sengaja mengungkapkan indikator
kunci dalam kodenya.
Petunjuk penting ini memungkinkan Akamai untuk secara efektif memetakan sejauh mana dampak kampanye dan menemukan korban lebih lanjut.
Setelah ekstraksi detail
pelanggan berhasil, skimmer mengirimkan data yang dicuri ke server di bawah
kendali aktor ancaman.
Sementara transmisi ini
difasilitasi melalui permintaan HTTP yang dibuat dengan cermat sebagai tag IMG
yang bersarang di dalam skimmer.
Pengkodean Base64 digunakan untuk mengaburkan data selama transmisi, sementara pemilik situs web dapat mencegah infeksi Magecart dengan mengamankan akun admin dan memperbarui CMS dan plugin, dan pelanggan dapat mengurangi risiko paparan data dengan menggunakan metode pembayaran elektronik, kartu virtual dan menetapkan batas tagihan kartu kredit.
Rekomendasi
Di bawah ini kami telah
menyebutkan semua rekomendasi:
- Disarankan
agar profesional keamanan tetap diperbarui dengan tambalan terbaru dan
meningkatkan langkah-langkah keamanan mereka dengan memasukkan Web ApplicationFirewall (WAF).
Pastikan penerapan solusi
keamanan khusus yang menawarkan wawasan tentang aktivitas skrip yang dijalankan
di browser web dan memberikan perlindungan yang kuat terhadap serangan sisi
klien.
- Disarankan
agar profesional keamanan tetap diperbarui dengan tambalan terbaru dan
meningkatkan langkah-langkah keamanan mereka dengan memasukkan Web ApplicationFirewall (WAF).
Pastikan penerapan solusi keamanan khusus yang menawarkan wawasan tentang aktivitas skrip yang dijalankan di browser web dan memberikan perlindungan yang kuat terhadap serangan sisi klien.
Pastikan pengumpulan menyeluruh dan pemantauan waspada terhadap peristiwa kritis dan data berwawasan untuk memungkinkan langkah-langkah mitigasi yang cepat dan efisien.
