Hakerzy za naruszenie British Airways dane ujawniły

Computer Security News

Eksperci od bezpieczeństwa o RiskIQ poinformował, że hakerzy za ostatnie naruszenia danych British Airways jest MageCart przestępstwa gangu.

MageCart otrzymał od co najmniej 2015 i udało się naruszyć wiele stron internetowych e-commerce do kradzieży karty płatniczej i innych poufnych danych.

Cyber gang działa poprzez wstrzyknięcie skryptu skimmer na stronach docelowych do syfonu danych kart płatniczych, i tak szybko, jak witryna jest zagrożona, dodaje osadzone kawałka Javascript do szablonu HTML.

Złośliwy skrypt nazywa się MagentoCore i rejestruje naciśnięcia klawiszy od klientów i wysyła je do serwera kontrolowane przez hakerów.

Zwykle napastnicy próbę naruszenia funkcji firm, które mogłyby umożliwić im dostęp do dużej liczby stron internetowych.

Eksperci o RiskIQ twierdzą, że grupa MageCart przeprowadzić ukierunkowany atak British Airways przy użyciu dostosowanej wersji skryptu pozostanie undercover.

Dla tego konkretnego ataku Przestępcy użyli dedykowanej infrastruktury przeciwko linii lotniczych.

“Ten atak jest prosta, ale wysoce ukierunkowanego podejścia w porównaniu do tego co już widzieliśmy w przeszłości z Magecart skimmer, który chwycił formy bezkrytycznie. Tej konkretnej odpieniacz jest bardzo dostosowane do British Airways płatności stronę konfiguracji, który mówi nam, że napastnicy starannie rozważyć jak kierować tej stronie zamiast ślepo wstrzykiwanie regularne skimmer Magecart.” RiskIQ analizy państwa.

“Infrastruktura wykorzystywana do tego ataku utworzono tylko z British Airways w umyśle i celowo ukierunkowane skrypty, które będzie komponować się z płatności normalnego przetwarzania, aby uniknąć wykrycia. Widzieliśmy tego dowodem na baways.com nazwę domeny, a także ścieżki drop server.”

Po przeanalizowaniu wszystkich skryptów załadowany przez stronę internetową, bezpieczeństwa naukowcy odkryli pewne zmiany w bibliotece Modernizr JavaScript, gdzie hakerzy dodano kilka linii kodu na dole pozwala na uniknięcie spowodowania problemów do skryptu. Z biblioteki JavaScript został zmodyfikowany na 21 sierpnia, 20:49 GMT.

Złośliwy skrypt został załadowany na stronie informacje o bagażu roszczenia na stronie British Airways. Kod, który został dodany przez przestępców niech Modernizr wysłać informacje o płatności od odbiorcy prosto do serwera hakerów.

Skrypt pozwolił napastnikowi na kradzież danych użytkowników z serwisu i aplikacji mobilnej.

Dane skradzionych z British Airways został wysłany w formie JSON na serwer hostowany na baways.com przypominający uzasadnionych domeny używane przez linię lotniczą.

Hakerzy zakupione certyfikatu SSL z Comodo, aby uniknąć podnoszenie podejrzenie.

“Domeny był gospodarzem na 89.47.162.248, który znajduje się w Rumunii i jest w rzeczywistości częścią VPS dostawcy o nazwie Time4VPS oparte na Litwie. Aktorzy również ładowane z certyfikatu SSL serwera. “Co ciekawe, zdecydowali się iść z płatnego certyfikatu z Comodo zamiast bezpłatny certyfikat LetsEncrypt, prawdopodobnie wyglądał jak legalny serwer. Zespół RiskIQ mówi.

Obecnie nadal nie jest jasne jak MageCart gang udało się do wstrzyknięcia szkodliwego kodu na stronie British Airways.


Leave a Reply

Your email address will not be published. Required fields are marked *