Senin, 19 Juni 2023

Situs Web Palsu Gerakan Kampanye Megacart Dirancang Curi Data Penting E-Commerce

Keamanan Siber, Magecart, Pencurian Data E-commerce, Perlindungan Data, Serangan Pada Situs Web

Para Peneliti cybersecurity telah menemukan kampanye Magecart baru pada situs web palsu yang bertujuan mencuri informasi identitas pribadi (PII) dan informasi kartu kredit dari situs web e-commerce.

“Perbedaan utama dari kampanye Magecart lainnya adalah bahwa situs web yang dibajak kemudian bertindak sebagai ‘switch’ shared and control server (C2), yang menggunakan penyelubungan untuk memfasilitasi distribusi kode berbahaya tanpa sepengetahuan situs web korban.” dikutip dari artikel The Hacker News.

Perusahaan keamanan, Akamai mengatakan telah mengidentifikasi korban dengan berbagai ukuran di Amerika Utara, Amerika Latin, dan Eropa, menempatkan informasi pribadi ribuan pengunjung situs web berisiko dicegat dan dijual untuk keuntungan ilegal.

“Penyerang menggunakan beberapa teknik penghindaran selama kampanye, termasuk penyamaran Base64 dan cakupan serangan untuk mengingatkan mereka tentang layanan pihak ketiga yang populer seperti Google Analytics atau Google Tag Manager,” kata Roman Lvovsky, peneliti keamanan di Akamai.

Singkatnya, idenya adalah untuk menyusup ke situs web resmi yang rentan dan menggunakannya untuk menghosting kode pemanenan web, memanfaatkan reputasi domain asli. Dalam beberapa kasus, serangan berlangsung sudah hampir dalam kurun waktu sebulan.

“Daripada menggunakan server C2 penyerang sendiri untuk menghosting kode berbahaya yang dapat ditandai sebagai domain berbahaya, penyerang meretas (melalui kerentanan atau cara lain yang mereka miliki) situs web yang sah dan rentan, seperti ‘Simpan kode Anda di sana,'” keterangan dari perusahaan Akamai.

Serangan itu mengakibatkan dua jenis korban yaitu situs web sah yang dikompromikan untuk bertindak sebagai “pusat distribusi” malware, dan situs e-niaga rentan yang ditargetkan oleh penyusup. Dalam beberapa kasus, situs web tidak hanya menjadi target pencurian data, tetapi juga tanpa disadari bertindak sebagai sarana penyebaran malware ke situs web rentan lainnya.

“Serangan ini termasuk eksploitasi dari Magento, WooCommerce, WordPress, dan Shopify, yang menunjukkan semakin beragamnya kerentanan dan penyalahgunaan platform perdagangan digital,” kata Lvovsky.

Dengan mengeksploitasi keyakinan mapan yang telah dikumpulkan situs web dari waktu ke waktu, teknik ini menciptakan “jaring asap” yang membuat serangan semacam itu sulit dideteksi dan ditanggapi.

Kampanye juga menggunakan metode lain untuk menghindari deteksi. Ini termasuk menyamarkan kode skimmer sebagai layanan pihak ketiga seperti Google Tag Manager atau Facebook Pixel untuk menyembunyikan tujuan sebenarnya.

Trik lainnya adalah fragmen JavaScript bertindak sebagai pemuat dan mengambil semua kode serangan dari situs host korban, meminimalkan jejak dan kemungkinan deteksi. Tersedia dalam dua versi, pemanen kode kebingungan mampu menangkap dan mengekstraksi informasi identitas pribadi dan informasi kartu kredit sebagai string terenkripsi melalui permintaan HTTP ke server operator.

“Tampilan hanya terjadi sekali untuk setiap pengguna yang membayar,” kata Lvovsky. “Jika informasi pengguna dicuri, skrip memberi tahu browser untuk memastikannya tidak mencuri informasi dua kali (untuk mengurangi lalu lintas web yang mencurigakan). Hal ini semakin meningkatkan ketahanan terhadap serangan bergaya Magecart ini.