Ein raffinierter Magecart-Angriff hat es auf Bezahldaten von Nutzern von Onlineshops abgesehen. Der Angriff erfolgt auf die E-Commerce-Plattform Magento. Schadcode versteckt sich unauffällig in den <img>-Tags. Cyberkriminelle nutzen diese Methode – um Kreditkarteninformationen zu stehlen.
Neue Vorgehensweise
Sicherheitsforscher haben eine neue Vorgehensweise entdeckt. Der Code für den Datendiebstahl lagert sich zwischen zwei HTML-Bild-Tags ein. Dabei wird die Standardfunktion „Onerror“ genutzt um aus der Sicht von Webbrowsern und Security-Tools als vertrauenswürdig zu erscheinen. Das erhöht die Wahrscheinlichkeit eines erfolgreichen Angriffs. Zusätzlich schützt eine Base64-Kodierung des Schadcodes die Tarnung.
Gefahr beim Checkout
Ein Forscherteam von Sucuri hat erklärt, ebenso wie der Onerror-Event funktioniert. Dieser wird standardmäßig aktiviert, wenn das Laden eines Bildes fehlschlägt. Normalerweise zeigt der Browser ein kaputtes Bild-Icon an. Beim aktuellen Angriff auf Magento sieht die Situation jedoch anders aus. Das bösartige JavaScript hijackt die Funktion zwischen den Image-Tags. Dadurch findet eine unsichtbare Codeausführung statt.
Das Skript prüft, ob sich das potenzielle Opfer im Checkout-Bereich des Shops befindet. Ist diese Bedingung erfüllt, erfolgt die Überwachung von Nutzereingaben. Sobald ein Nutzer seine Kreditkartendaten eingibt und auf einen Button klickt, wird die Funktion namens magictrick() aufgerufen.
Datenklau durch Skript
Magictrick() wird für den eigentlichen Datenklau eingesetzt. Die Funktion fängt die gesendeten Kreditkartendaten ab. Dies geschieht über ein eigens erstelltes Formular. Das Skript unterscheidet zwischen Kartennummer, Ablaufdatum und dem Sicherheitscode (CVV). Nutzereingaben werden validiert, bevor nicht-numerische Zeichen gelöscht werden. Letztendlich leitet das Skript die gestohlenen Daten an einen entfernten Server der Angreifer weiter.
Unsichtbarer Datendiebstahl
Einige Magecart-Szenarien wie etwa 404-Fehlerseiten, können Verdacht erregen. Der aktuelle Magecart-Angriff auf Magento hingegen bleibt für Nutzer weitgehend „unsichtbar“. Das macht es schwierig – ihn zu erkennen. Nutzer sollten wachsam bleiben und ihre Kontoauszüge regelmäßig auf verdächtige Aktivitäten überprüfen.
Verantwortung der Shopbetreiber
Auf den Schultern der Shopbetreiber liegt eine große Verantwortung. Sie müssen den Datendiebstahl an ihren Kunden verhindern. Das Sucuri-Team empfiehlt, regelmäßige Updates der E-Commerce-Plattform durchzuführen. Ein gewissenhafter Umgang mit Passwörtern und die Nutzung von Zwei-Faktor-Authentifizierung sollte ähnlich wie nicht vernachlässigt werden. Zudem ist es wichtig, ungenutzte Admin-Accounts zu entfernen.
Kommentare