Magecart对餐厅订餐系统进行攻击

研究人员发现,Magecart的攻击活动一直在利用三个在线餐厅订餐系统盗取那些毫无戒心的顾客的支付卡凭证,并且攻击影响了大约300家使用这些服务的餐厅,迄今已泄露了数万张卡的信息。

多次进行攻击的Magecart团伙将e-skimmer脚本注入到了使用这三个独立平台的在线订购门户。来自Recorded Future的研究人员在本周的一篇博文中透露,针对MenuDrive、Harbortouch和InTouchPOS进行的攻击,一个似乎在去年11月开始的,另一个是在1月。

攻击的具体内容

Recorded Future's Insikt Group的研究人员在报告中写道,这三个平台上,至少有311家餐厅被Magecart感染,随着更深入的分析,这个数字可能会继续增加。

Magecart是一个网络犯罪集团的总称,他们会使用盗卡技术从销售点(POS)或电子商务系统使用的支付卡中窃取凭证。并且他们通常最终会在暗网的黑客论坛上出售这些被盗的凭证。

研究人员指出,在Recorded Future观察到的两个攻击活动中,那些受影响的餐馆网站往往会导致客户的支付卡数据和PII(他们的账单信息和联系信息)发生泄露。

他们说,到目前为止,研究人员已经从暗网上发布的活动中发现了5万多条被破坏的支付记录,他们预计未来会有更多被盗数据被发布出来。

研究人员发现,MenuDrive和Harbortouch是同一个Magecart攻击者的攻击目标,这一攻击活动导致80家使用MenuDrive的餐馆和74家使用Harbortouch的餐馆感染了e-skimmer病毒。

他们在帖子中指出,这个攻击活动可能是不晚于2022年1月18日开始的,截至本报告发布,仍然有一部分餐馆受到了感染。然而,研究人员确定该攻击活动的恶意域名为authorizen[.]net,5月26日以来就已经被封锁。

研究人员说,一个单独的、不相关的Magecart攻击活动甚至在更早就针对InTouchPOS进行了攻击,此活动最迟在2021年11月12日开始。在那次攻击活动中,有157家使用该平台的餐馆被感染e-skimmers,而且与该攻击活动有关的恶意域名bouncepilot[.]net和pinimg[.org仍然十分活跃。

此外,据Recorded Future称,针对InTouchPOS的攻击活动使用的策略和破坏指标与自2020年5月以来,针对400个从事不同类型交易的电子商务网站的其他网络犯罪活动非常相似。研究人员说,截至6月21日,相关攻击活动中的30多个受影响的网站仍然在受到不同程度的影响。

诱人的数据

研究人员指出,虽然像Uber Eats和DoorDash这样的集中式餐厅订餐平台在这类系统的市场中占主导地位,而且比受这些活动影响的平台要知名得多,但互联网上数百个为当地餐厅服务的小型平台仍然是网络犯罪分子的重要攻击目标。

他们说,即使是小规模的平台也可能有数以百计的餐馆作为客户,这意味着针对一个较小的平台攻击就可以泄露出数十种在线交易和支付卡的信息。事实上,这些平台对攻击者来说是非常有吸引力的,研究人员指出,他们更倾向于用最少的工作量寻求最高的回报。

一位安全专家指出,一般来说,电子商务网站在安全方面一直面临着很大的挑战,而且往往会包含来自第三方或供应链合作伙伴的代码,这些代码很容易被攻击者破坏,并可能对下游产生更大的影响。

网络安全公司PerimeterX的首席营销官在给媒体的一封电子邮件中写道,这是用来解释网络攻击生命周期的一个很好的例子,由于网络攻击的周期性和连续性,导致网站的数据被大量泄露,这也就是Magecart攻击的结果,这也为另一个网站的刷卡、凭证填充或账户接管攻击提供了资源。