Хакери за порушення British Airways даних показав

Computer Security News

Експерти безпеки на RiskIQ повідомила, що хакери за останні порушення British Airways даних є MageCart злочин банди.

MageCart з принаймні 2015 року активного і зумів компроміс великою кількістю сайтів електронної комерції, щоб вкрасти платіжних карт і інші конфіденційні дані.

Кібер банди діє шляхом ін’єкції скімер сценарію в цільових веб-сайтам сифон платіжних картках, і як тільки скомпрометований веб-сайт, додає вбудованих шматок Javascript до шаблону HTML.

Небезпечний сценарій називається MagentoCore і вона записує натиснення клавіш від клієнтів і відправляє їх на сервер під контролем хакерів.

Як правило нападники спробувати поставити під загрозу сторонні функції, які можуть дозволити їм доступ до великої кількості сайтів.

Експерти на RiskIQ стверджують, що група MageCart проведені цільові атаки проти з British Airways за допомогою налаштовану версію скрипта залишатися undercover.

Для цього конкретного атаки злочинці використовували виділений інфраструктури до авіакомпанії.

“Цей напад є простий, але дуже цілеспрямоване підхід в порівнянні з те, що ми бачили в минулому з в Magecart скімер, який схопив форми без розбору. Цей конкретний скімер є дуже багато пристосовані для як британський дихальних шляхів, оплати сторінка буде налаштована, яка говорить нам, що нападники ретельно розглядався як цільова цей сайт замість сліпо ін’єкційні регулярні Magecart скімер.” RiskIQ аналіз держав.

“Інфраструктури, що використовуються в цій атаці було встановити лише з British Airways на увазі і навмисно цільових скрипти, які б гармоніювати з нормальним обробки платежу, щоб уникнути виявлення. Ми побачили доказом цього на baways.com ім’я домену, а також шляхом падіння сервер”

Після того, як аналізувати всі скрипти завантажені на сайт, безпеки дослідники виявили деякі зміни в Modernizr JavaScript бібліотека, де хакери додав кілька рядків коду в нижній щоб не викликати проблеми, щоб скрипт. JavaScript бібліотеки було змінено на 21 серпня, 20:49 GMT.

Небезпечний сценарій був завантажений з багажу претензія інформаційну сторінку на сайті British Airways. Код, який був доданий злочинці нехай Modernizr відправити платіжної інформації від замовника прямо на сервер з хакерами.

Сценарій дозволило зловмисникові крадіжки даних користувачів з веб-сайту і мобільних додатків.

Даних, викрадених з British Airways було направлено у вигляді JSON сервер розміщується на baways.com, що нагадують законних домену, який використовується авіакомпанією.

Хакери придбати сертифікат SSL від Comodo уникнути підвищення підозрою.

“Домен був розміщений на 89.47.162.248, який знаходиться в Румунії і є, по суті, частиною VPS постачальник, названий Time4VPS, що базується в Литві. Актори також завантажуються сервера з SSL-сертифікат. Цікаво, вони вирішили піти з платних сертифікат від Comodo замість безкоштовно сертифікат LetsEncrypt, ймовірно, щоб зробити це, як законний сервер.” RiskIQ команда говорить.

Наразі ще не ясно, як Банда MageCart вдалося inject шкідливого коду в British Airways веб-сайту.


Leave a Reply

Your email address will not be published. Required fields are marked *