Magecart kampanja krade kreditne kartice

AUTOR ·

Magecart kampanja, prema analizi Silent Push sigurnosnih istraživača, širi svoje djelovanje i usmjerava napade na različite platne mreže, kao i na kupce na internetu širom svijeta, koristeći napredne metode prisluškivanja internet mreže (eng. web skimming) koje zaobilaze klasična bezbjednosna rješenja.

Magecart

Magecart kampanja krade kreditne kartice; Source: Microsoft Copilot: Your AI companion

MAGECART KAMPANJA

Internet je posljednjih godina doživio neviđen obim operacija naprednih metoda prisluškivanja mreže, pri čemu su internet kupci i vlasnici naloga postali mete na globalnom nivou. Sigurnosni istraživači identifikovali su preko pedeset skripti uključenih u Magecart kampanju, koje presreću osjetljive informacije tokom procesa plaćanja i otvaranja naloga. Ova operacija velikih razmjera pokazuje jasnu promjenu u načinu na koji zlonamjerni akteri ciljaju platforme za elektronsku trgovinu.

Napadi više ne podrazumijevaju samo krađu podataka kreditnih kartica, već i krađu kompletnih identiteta kupaca, što dodatno otežava bezbjednosnim timovima i korisnicima da otkriju zlonamjernu aktivnost. Upotreba modularnih zlonamjernih korisnih sadržaja (eng. payloads), posebno prilagođenih različitim procesorima plaćanja, predstavlja ključni element ovih kampanja. Zlonamjerni akteri razvili su lokalizovane varijacije koje ciljaju određene procesore plaćanja poput American Express, Diners Club, Discover i Mastercard.

Ovakav pristup omogućava zlonamjernom softveru da se uklopi u legitimna platna okruženja, čime se otkrivanje znatno otežava i bezbjednosnim timovima i kupcima koji obavljaju transakcije. Sposobnost zlonamjernih aktera da oblikuju prilagođene korisne sadržaje za različite procesore plaćanja pokazuje njihov visok nivo vještine u napadima na elektronsku trgovinu.

Modularni zlonamjerni sadržaji omogućavaju i jednostavno ažuriranje ili izmjene skripti bez uticaja na ostatak kampanje. Takva fleksibilnost im daje prednost da se brzo prilagode promjenama u bezbjednosnim mjerama i ostanu korak ispred pokušaja otkrivanja.

Posebno je značajno što lokalizovane varijacije za pojedine platne platforme pokazuju duboko razumijevanje zlonamjernih aktera o funkcionisanju različitih sistema internet trgovine. Ovo znanje koriste za napade koji imaju veću vjerovatnoću uspjeha u krađi osjetljivih informacija od nesvjesnih kupaca.

 

Tehnički aspekti kampanje

Tehnički aspekti Magecart kampanje predstavljaju ključnu komponentu u razumijevanju njenog unutrašnjeg rada i uticaja na sisteme internet trgovine. Zlonamjerni akteri pokazali su napredno znanje o WordPress i WooCommerce platformama, iskorištavajući njihove ranjivosti za ubrizgavanje zlonamjernog kôda.

Jedan od glavnih načina iskorištavanja jeste upotreba funkcionalnosti wp_enqueue_scripts, koja omogućava učitavanje eksternih skripti na ranjive internet stranice bez otkrivanja od strane administratora. Ova tehnika Magecart operaterima daje mogućnost da ostanu neprimjetni dok ubacuju zlonamjerni softver koji ugrožava osjetljive podatke kupaca.

Prisustvo administratorskog korisnika na ugroženoj stranici igra važnu ulogu u određivanju da li će se zlonamjerni kôd izvršavati ili ukloniti. Kada se administrator prijavi, ubrizgani skript provjerava WordPress Admin Bar i uklanja se ukoliko ga otkrije. Ovaj mehanizam samouklanjanja omogućava Magecart operaterima da izbjegnu otkrivanje, a da pritom zadrže prisustvo u ranjivim sistemima.

Snaga Magecart kampanje leži u njenoj sposobnosti prilagođavanja različitim platformama i konfiguracijama internet trgovine. Ciljajući različite zemlje i dobavljače infrastrukture, zlonamjerni akteri uspjeli su da stvore široku mrežu ugroženih lokacija koje se koriste u zlonamjerne svrhe.

Upotreba tehnika poput ubrizgavanja kôda i samouklanjanja pokazuje visok nivo tehničke vještine među Magecart operaterima. Upravo ta vještina im omogućava da ostanu ispred bezbjednosnih mjera i da održe prisustvo u ranjivim sistemima tokom dužeg vremenskog perioda.

 

Analiza infrastrukture

Sigurnosni istraživači identifikovali su infrastrukturu zlonamjernog softvera koju zlonamjerni akteri koriste za distribuciju i kontrolu velike operacije prisluškivanja internet mreže. Otkrivena je mreža imena domena osmišljena da izgleda legitimno i da imitira popularne biblioteke i analitičke servise koje internet stranice obično učitavaju.

Domeni poput googlemanageranalytic.com, gtm-analyticsdn.com i jquery-stupify.com predstavljaju primjere adresa koje zlonamjerni akteri koriste za širenje svojih skripti. Ovi domeni su napravljeni da obmanu i bezbjednosne timove i kupce, stvarajući utisak legitimnosti i učitavajući se bez izazivanja neposredne sumnje.

Takva upotreba imena domena omogućava zlonamjernom softveru da se uklopi u okruženja za plaćanje, što znatno otežava otkrivanje i bezbjednosnim timovima i korisnicima koji obavljaju transakcije. Ovakav način oblikovanja domena pokazuje razumijevanje zlonamjernog aktera o funkcionisanju platformi za elektronsku trgovinu i njihovu sposobnost da se brzo prilagode promjenama u bezbjednosnim mjerama.

Analiza infrastrukture zlonamjernog softvera otkrila je da ona djeluje kroz više vektora infekcije, uključujući lažne obrasce za plaćanje ubrizgane direktno na internet stranice. Ovakav pristup stvara ubjedljiva phishing okruženja koja prikupljaju podatke kupaca bez izazivanja neposredne sumnje kod korisnika ili bezbjednosnih timova.

 

Obmana korisnika

U svojoj suštini, Magecart kampanja zasniva se na jednostavnom, ali efikasnom mehanizmu obmane. Kada kupac pokuša da plati internet kupovinu, zlonamjerni softver sakriva pravo polje za plaćanje i zamjenjuje ga lažnim koje izgleda identično. Ovo se postiže tehnikama automatskog izvlačenja podataka sa internet stranica, koje omogućavaju zlonamjernim akterima da analiziraju raspored i strukturu legitimne forme za plaćanje.

Lažna forma koju stvara zlonamjerni softver osmišljena je da oponaša izgled originalne, sa svim oznakama i poljima za unos podataka. U pojedinim slučajevima softver prepoznaje vrstu kreditne kartice koja se koristi (npr. Mastercard) i prikazuje odgovarajuće obilježje pored relevantnog polja. Ova pažnja prema detaljima dodatno obmanjuje korisnike, navodeći ih da povjeruju kako komuniciraju sa legitimnim sistemom.

Kada je lažni obrazac postavljen, zlonamjerni softver čeka da korisnik unese podatke o kartici. Zlonamjerni akteri zatim brzo hvataju ime, adresu i brojeve kartice, koji se prenose putem skrivene API krajnje tačke. Proces traje svega nekoliko milisekundi, pa ostaje gotovo neprimjetan.

Da bi održao privid legitimnosti, zlonamjerni softver vraća pravi obrazac nakon što zabilježi podatke, a zatim prikazuje poruku o grešci uz zahtjev da korisnik ponovo unese informacije. Ova manipulacija oslanja se na psihologiju, jer većina ljudi pretpostavlja da su sami napravili grešku u unosu.

Uspjeh ovakvog trika u velikoj mjeri zavisi od psiholoških ranjivosti korisnika tokom interakcije sa sistemima za plaćanje na mreži. Istraživanja pokazuju da ljudi često imaju veće povjerenje u digitalna okruženja nego u stvarnom životu, zbog osjećaja pogodnosti i brzine koje pruža internet trgovina.

Lažni obrazac za plaćanje iskorištava upravo tu dinamiku povjerenja, imitirajući legitimni proces. Kada se suoče sa greškama ili zahtjevima za ponovni unos podataka, većina ljudi preuzima odgovornost, vjerujući da su sami pogriješili. Ovo samookrivljavanje prirodna je posljedica unutrašnjeg sukoba i potrebe da potvrde sopstvena uvjerenja u digitalnom okruženju.

 

UTICAJ

Magecart kampanja ima snažan uticaj na globalnu internet trgovinu, jer se širi kroz različite platne mreže i zahvata kupce širom svijeta. Njena sposobnost da presreće osjetljive podatke tokom procesa plaćanja i otvaranja naloga mijenja način na koji se posmatra sigurnost internet transakcija. Time nastaje nova dimenzija prijetnje koja pogađa ne samo pojedince, već i čitave sisteme internet trgovine, dok bezbjednosni timovi ostaju pod stalnim pritiskom da otkriju skrivena zlonamjerna djelovanja.

Uticaj kampanje ogleda se i u krađi identiteta, što prevazilazi samu krađu podataka kreditnih kartica. Modularni zlonamjerni sadržaji, prilagođeni različitim procesorima plaćanja, omogućavaju precizno ciljanje specifičnih platformi. Time se povećava vjerovatnoća uspjeha napada i produbljuje ranjivost korisnika. Lokalizovane varijacije pokazuju da zlonamjerni akteri posjeduju detaljno znanje o funkcionisanju različitih sistema, što dodatno otežava otkrivanje i smanjuje povjerenje u digitalne kanale plaćanja.

Tehnički uticaj kampanje vidljiv je kroz iskorištavanje ranjivosti popularnih platformi poput WordPress i WooCommerce. Ubrizgavanje kôda i mehanizmi samouklanjanja omogućavaju zlonamjernim akterima da ostanu neprimjetni, dok istovremeno nastavljaju da prikupljaju podatke. Ovakva sposobnost prilagođavanja različitim konfiguracijama internet trgovine stvara široku mrežu ugroženih lokacija, čime se povećava obim štete i otežava kontrola.

Infrastruktura kampanje dodatno pojačava njen uticaj. Lažni domeni osmišljeni da izgledaju legitimno omogućavaju zlonamjernom softveru da se uklopi u okruženja za plaćanje. Time se stvara privid normalnog funkcionisanja sistema, dok se u pozadini odvija prikupljanje podataka. Ovakva obmana pokazuje visok nivo razumijevanja načina na koji funkcionišu internet stranice i bezbjednosne mjere, što Magecart operaterima daje prednost u održavanju prisustva.

Psihološki uticaj kampanje ogleda se u manipulaciji korisnika tokom procesa plaćanja. Lažni obrasci za unos podataka imitiraju legitimne forme, stvarajući osjećaj povjerenja i navodeći korisnike da sami preuzmu odgovornost za greške. Ova dinamika povjerenja u digitalna okruženja čini napade posebno uspješnim, jer se oslanjaju na prirodnu sklonost ljudi da vjeruju u stabilnost sistema i da sopstvene greške vide kao uzrok problema.

 

ZAKLJUČAK

Magecart kampanja pokazuje da savremeni napadi na internet trgovinu više nisu izolovani incidenti, već sistemski oblikovane operacije koje obuhvataju različite dimenzije. Njena struktura otkriva da zlonamjerni akteri djeluju planski, koristeći kombinaciju tehničkih i organizacionih metoda koje se međusobno nadopunjuju.

Analiza pokazuje da kampanja funkcioniše kao mreža u kojoj se tehničke ranjivosti, lažni domeni i manipulacija korisnika spajaju u jedinstvenu strategiju. Ovakva povezanost ukazuje da prijetnje nisu ograničene na jedan sloj sistema, već zahvataju cijeli ekosistem internet trgovine.

Posebno je značajno što Magecart operateri demonstriraju sposobnost prilagođavanja različitim okruženjima i dugotrajnog prisustva. To potvrđuje održivost njihovih metoda i pokazuje da se radi o fenomenu koji se ne može posmatrati kao prolazna pojava.

Zaključci iz analize kampanje ukazuju na novu realnost digitalnog prostora: prijetnje se razvijaju brže nego što se razvijaju odbrambeni mehanizmi. Magecart je primjer kako se tehnička vještina, infrastrukturna obmana i psihološka manipulacija mogu spojiti u jednu od najopasnijih formi digitalnog kriminala.

 

PREPORUKE

Savremene sajber prijetnje, koje se u internet trgovini jasno vide kroz primjere poput Magecart kampanja, zahtijevaju višeslojnu odbranu i pravovremeno predviđanje napada. Neprekidna budnost i dosljedno poštovanje najboljih praksi presudni su za očuvanje bezbjednosti, a ključnu ulogu u tome imaju i korisnici i administratori. U nastavku slijede preporuke za jačanje zaštite i otpornosti sistema:

  1. Biti svjestan najnovijih prijetnji i trendova u bezbjednosti plaćanja na mreži kako bi se bilo ispred potencijalnih napada. Redovno provjeravati pouzdane izvore za ažuriranja o Magecart kampanjama i drugim metodama prisluškivanja internet mreže.
  2. Kada se kupuje na mreži, razmisliti o korištenju virtuelnih ili kreditnih kartica za jednokratnu upotrebu umjesto primarnog broja kartice. Ovo ograničava štetu ako je stranica za plaćanje trgovca ugrožena Magecart kampanjom.
  3. Redovno pregledati i provjeravati bankovne izvode za sve sumnjive transakcije koje mogu ukazivati na neovlašteno korištenje ugroženog broja kartice.
  4. Prije unosa osjetljivih informacija, uvjeriti se da stranica za plaćanje izgleda legitimno i bezbjedno. Obratiti pažnju na znakove kao što su HTTPS veze (označene ikonom katanca u adresnoj traci internet pregledača), ažurirani bezbjednosni certifikati ili drugi indikatori autentičnosti.
  5. Uzdržati se od internet plaćanja na javnim računarima, besplatnim Wi-Fi pristupnim tačkama ili drugim nebezbjednim mrežama gdje Magecart kampanje mogu imati veće šanse da budu uspješne i neotkrivene.
  6. Uvjeriti se da svi uređaji koji se koriste za internet plaćanja imaju instalirane najnovije bezbjednosne ispravke, uključujući ažuriranja internet pregledača koja često uključuju ispravke za ranjivosti koje koriste metode prisluškivanja internet mreže.
  7. Instalirati pouzdane antivirusne softvere na lične računare ili mobilne uređaje kako bi se otkrile potencijalne infekcije zlonamjernim softverom prije nego što mogu da ugroze osjetljive informacije.
  8. Izbjegavati klikove na sumnjive veze u elektronskoj pošti ili otvaranje priloga od nepoznatih pošiljalaca, jer oni mogu sadržati zlonamjerni kôd koji bi mogao da olakša Magecart napade.
  9. Primjenjivati robusne politike lozinki i omogućiti provjeru identiteta u dva koraka (eng. two-factor authentication – 2FA) na svim digitalnim nalozima kako bi se spriječio neovlašteni pristup zlonamjernih aktera koji bi mogli da iskoriste ugrožene stranice za plaćanje radi daljeg profita.
  10. Kada se kupuje kod nepoznatih trgovaca, istražiti njihovu reputaciju u vezi sa praksama bezbjednosti plaćanja prije obavljanja kupovine.
  11. Razmisliti o instaliranju renomiranih dodataka za internet pregledač posebno dizajniranih za identifikaciju i blokiranje Magecart napada tokom pregledanja digitalnih prodavnica ili drugih internet lokacija gdje se prikupljaju osjetljive informacije.
  12. Podijeliti interne mreže na izolovane segmente, ograničavajući pristup između različitih odjeljenja ili sistema koji sadrže osjetljive podatke kako bi se spriječilo bočno kretanje zlonamjernih aktera koji bi mogli da iskoriste ugrožene stranice za plaćanje radi daljeg profita.
  13. Redovno procjenjivati ukupno bezbjednosno stanje digitalnih resursa organizacije putem procjena ranjivosti i simuliranih napada kako bi se otkrile potencijalne ranjivosti koje bi mogle da iskoriste Magecart kampanje ili druge prijetnje.
  14. Razviti sveobuhvatne, dobro uvježbane procedure za reagovanje na sumnjive incidente koji koriste metode prisluškivanja internet mreže koji uključuju ugrožene stranice za plaćanje ili neovlaštene transakcije na karticama.
  15. Obezbijediti jasne smjernice o bezbjednim navikama kupovine, uključujući korištenje virtuelnih kreditnih kartica, pažljivo praćenje bankovnih izvoda, provjeru autentičnosti stranice za plaćanje prije unosa osjetljivih informacija itd., kako bi se pojedinci osnažili znanjem potrebnim za zaštitu od Magecart napada.
  16. U slučaju sumnje ili potvrde incidenta korištenja metode prisluškivanja internet mreže u okviru digitalnih resursa organizacije, odmah angažovati lokalne vlasti, kao i pouzdane stručnjake za bezbjednost koji mogu pružiti vrijedne uvide u prirodu potencijalnih prijetnji uključenih u takve incidente.
  17. Osigurati da svaka transakcija koja uključuje osjetljive informacije (npr. brojeve kartica) formira detaljne evidencije koje sadrže relevantne metapodatke o svakoj interakciji kako bi se olakšala forenzička analiza ako je potrebno kasnije zbog sumnjivih aktivnosti metode prisluškivanja internet mreže povezanih sa Magecart kampanjama ili sličnim napadima usmjerenim na platne sisteme danas na mreži.

Zaštita od rizika povezanih sa Magecart kampanjama zahtjeva proaktivan i višeslojan pristup koji uključuje budnost i pojedinaca i organizacija. Prateći ove preporuke, može se značajno smanjiti izloženost potencijalnim prijetnjama, a istovremeno poboljšati ukupno bezbjednosno stanje u okviru digitalnog prisustva organizacije.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.