Pod koniec czerwca firma biletowa Ticketmaster potwierdziła, że ​​Inbenta, dostawca stron internetowych, padł ofiarą ataku na ich system zabezpieczeń. Jednak obecnie naukowcy ujawniają, że było to bardziej skomplikowane, niż się wydawało i zdecydowanie zaprzeczają jakoby był to jednorazowy atak, donosi RiskIQ.

Dochodzenie pokazuje, że było to częścią wysoce wyrafinowanego oszustwa, którego celem było 800 witryn e-commerce na całym świecie. Grupa hakerów odpowiedzialna za ataki zwana jest Magecart, „skimmerzy” z cyfrowymi kartami o skomplikowanej technice. Atakują firmy, które integrują swoje oprogramowanie z Ticketmaster i zastępują ich moduły javascript złośliwym kodem zaprojektowanym w celu kradzieży informacji o płatnościach. Tym sposobem moduł javascript Inbenta został naruszony podczas ataku. Oprócz strony Inbeta w Wielkiej Brytanii, dotknęło to wiele stron internetowych Ticketmaster na całym świecie, w tym strony z Irlandii, Turcji i Nowej Zelandii.

Ticketmaster Niemcy, Ticketmaster Australia i Ticketmaster International (wcześniej wymienione w zmiance o naruszeniu Inbenta) również zostały naruszone poprzez serwis postronnej firmy, która jest dostarczycielem usług”, stwierdziła firma.

Wygląda na to, że przeciętne hackowanie stron internetowych straciło swoją świetność, a Magecart to grupa, którą badacze znają i w przeszłości już wyrażali swój niepokój związany z jej działalnością. Poprzednie naruszenia, w które hakerzy byli zamieszani dotyczyły m.in. firmy zajmującej się integracją mediów społecznościowych, firmy związanej z analityką internetową i platformy CMS. Jak pokazało dochodzenie, hakerzy wysyłali fałszowane dokumenty ze szczegółami płatności już w grudniu 2016 roku.

Nasze śledztwo po naruszeniu Inbenta ujawniło dowody, że atak Inbenta nie był jednorazowy, ale wskazywał na zmianę strategii stosowaną przez Magecart z koncentracji na fragmentarycznych kompromisach na kierowaniu ataku na zewnętrznych dostawców takich jak Inbenta w celu wykonywania bardziej dotkliwych szkód kart danych” napisali analitycy.

JavaScript jest od dawna używany jako narzędzie do infekowania stron internetowych, ponieważ jest to język programowania, który powstaje w ramach codziennego życia użytkownika. W rzeczywistości, w połowie 2016 roku pojawiły się informacje na temat szczepu oprogramowania ransomware całkowicie zakodowanego w JavaScript, ukrytego w załącznikach do wiadomości e-mail. Zagrożenie w tych atakach ma jeden kluczowy aspekt: złośliwe oprogramowanie dostarczane przez zainfekowane pliki JavaScript nie wymaga interakcji ze strony użytkownika. Powinniśmy zdawać sobie sprawę z kilku rzeczy: Unikać przesyłania plików, sprawdzać hasła, ostrzegać przed komunikatami o błędach i aktualizować oprogramowanie” komentuje Dariusz Woźniak, inżynier techniczny Bitdefender z firmy Marken.

źródło: Bitdefender