Forscher des chinesischen Cybersicherheitsunternehmens Qihoo 360’s NetLab haben Details einer laufenden Kreditkarten-Hacking-Kampagne enthüllt, die derzeit Zahlungskarteninformationen von Kunden stiehlt. Die Hacker sind auf mehr als 105 E-Commerce-Websites aktiv.

Bei der Überwachung einer bösartigen Domain, www.magento-analytics[.]com, stellten die Forscher in den letzten sieben Monaten fest, dass die Angreifer bösartige JS-Skripte, die auf dieser Domain gehostet werden, in Hunderte von Online-Shopping-Websites injizieren.

Die fraglichen JavaScript-Skripte beinhalten den digitalen Kreditkarten-Skimming-Code, der bei der Ausführung auf einer Website automatisch Zahlungskarteninformationen wie Kreditkarteninhaber, Kreditkartennummer, Ablaufdatum, CVV-Informationen, die von seinen Kunden eingegeben wurden, stiehlt.

Wie die Zahlungsdaten ausspioniert wurden

In einem E-Mail-Interview teilte der NetLab-Forscher The Hacker News mit, dass sie nicht genügend Daten haben, um festzustellen, wie Hacker infizierte betroffene Websites überhaupt infizieren oder welche Schwachstellen sie ausnutzen, aber sie bestätigten, dass alle betroffenen Shopping-Sites über Magento E-Commerce-CMS-Software laufen. Weitere Analysen ergaben, dass das infizierte Skript dann gestohlene Zahlungskartendaten an eine andere Datei sendet, die auf dem von den Angreifern kontrollierten magentoanalytics[.]com-Server gehostet wird. Die Technik, die von der Gruppe hinter dieser Kampagne verwendet wird, ist nicht neu und genau das gleiche wie die berüchtigten MageCart Kreditkarten-Hacking-Gruppen, die bei Hunderten ihrer jüngsten Angriffe, darunter Ticketmaster, British Airways und Newegg, eingesetzt wurden.

NetLab-Forscher haben diesen Angriff jedoch nicht explizit mit einer der MageCart-Gruppen in Verbindung gebracht. Auch mit dem Domainnamen darf man sich nicht täuschen lassen – www.magento-analytics[.]com.

Magento im Domainnamen zu haben bedeutet nicht, dass die bösartige Domain zwangsläufig mit der beliebten Magento E-Commerce CMS-Plattform in Verbindung gebracht wird; stattdessen verwendeten die Angreifer dieses Schlüsselwort, um ihre Aktivitäten zu tarnen und normale Benutzer zu verwirren.

Laut den Forschern ist die bösartige Domain, die in der Kampagne verwendet wird, in Panama registriert, aber in den letzten Monaten hat sich die IP-Adresse von den USA nach Moskau und dann nach Hongkong verlagert.

Sicherheitslücken im E-Commerce

Während Forscher feststellten, dass die bösartige Domäne seit mindestens fünf Monaten Kreditkarteninformationen stiehlt, wobei insgesamt 105 Websites bereits mit dem bösartigen JS infiziert sind, glauben sie, dass diese Zahl höher sein könnte als das, was auf ihrem Radar erschien.

Erst kürzlich hat ein Benutzer in einem Forum gepostet, dass seine Magento-Website ebenfalls kürzlich gehackt wurde, und Angreifer haben heimlich ein Kreditkartendiebstahl-Skript aus derselben Domain injiziert, anscheinend eine separate Variante, die noch nicht auf der 360 NetLab-Website gelistet wurde.

Da Angreifer in der Regel bekannte Schwachstellen in Online-E-Commerce-Software ausnutzen, um ihre bösartigen Skripte zu injizieren, wird den Website-Verwaltern dringend empfohlen, die besten Sicherheitspraktiken zu befolgen, wie zum Beispiel das Anwenden der neuesten Updates und Patches, die Einschränkung der Berechtigungen für kritische Systeme und die Sicherung von Webservern.

Website-Administratoren wird auch empfohlen, die Content Security Policy (CSP) zu nutzen, die es ihnen ermöglicht, eine strenge Kontrolle darüber zu übernehmen, welche Ressourcen auf Ihre Website geladen werden dürfen.

In der Zwischenzeit wird den Online-Käufern auch empfohlen, ihre Kreditkarten- und Kontoauszüge regelmäßig auf unbekannte Aktivitäten zu überprüfen. Egal wie klein die unbefugten Transaktionen sind, die bemerkt werden. Man sollte ein jedem Fall sofort Kontakt mit der Bank aufnehmen.