Angriff über kompromittierte Advertising Supply Chain

Originalbeitrag von Chaoying Liu und Joseph C. Chen, Trend Micro Cyber Safety Solutions Team

In den ersten Januartagen dieses Jahres stellten die Sicherheitsforscher von Trend Micro eine erhöhte Aktivität bei einer der von ihnen beobachteten Gruppe von Web-Betrügern fest. Der bösartige Code (JS_OBFUS.C.) wurde auf 277 E-Commerce Websites hochgeladen. Es geht um Sites, die Ticketing-, Touring- und Flugbuchungsdienste anbieten, sowie selbst gehostete Warenkorb-Websites von führenden Kosmetik-, Gesundheits- und Bekleidungsmarken. Trend Micros Machine Learning- und Verhaltenserkennungstechnologien blockten sofort den bösartigen Code (Downloader.JS.TRX.XXJSE9EFF010).

Diese Aktivitäten sind ungewöhnlich, denn die Gruppe ist dafür bekannt, Code in einige kompromittierte E-Commerce-Seiten einzufügen und sich dann während der Überwachung unauffällig zu verhalten. Weitere Untersuchungen dieser Aktivitäten ergaben, dass der Skimming-Code nicht direkt in E-Commerce-Websites eingefügt wurde, sondern in eine JavaScript-Bibliothek eines französischen Online-Werbeanbieters Adverline. Die Forscher benachrichtigten die Firma, die zusammen mit CERT La Poste die nötigen Schritte zur Wiederherstellung einleitete.


Bild 1. Ablauf des Online Skimming-Angriffs


Bild . Zeitachse der Skimming-Aktivitäten für den Zugriff auf bösartige Domänen Bild

3. Betroffene Länder (Daten aus dem Trend Micro™ Smart Protection Network™)

Aufgrund des Angriffsmodus, nämlich Anvisieren von Drittanbieter-Dienstleistung, schlossen die Sicherheitsforscher auf die Magecart Group 5 als Hintermänner. RiskIQ berichtete von deren Verwicklung in mehrere Datendiebstähle wie etwa den bei Ticketmaster im letzten Jahr. Zusammen mit dem Sicherheitsforscher Yonathan Klijnsma von RiskIQ stellte Trend Micro fest, dass die aktuellen Aktivitäten von Magecart Group 12 durchgeführt wurden, vermutlich eine Untergruppe von Magecart. Technische Einzelheiten zum Ablauf des Angriffs durch Magecart Group 5 und 12 liefert der Originalbeitrag.

Fazit

Diese Angriffe führen ein weiteres Mal vor Augen, wie wichtig es ist, Infrastrukturen für den Betrieb von Websites, Anwendungen und die Speicherung von sensiblen Daten zu sichern. Software muss regelmäßig gepatcht und upgedatet werden; veraltete Komponenten oder Plugins von Drittanbietern müssen deaktiviert, eingeschränkt oder gesichert, und Anmeldeinformationen oder Authentifizierungsmechanismen müssen verstärkt werden. IT- und Sicherheitsteams sollten ihre Websites oder Anwendungen außerdem proaktiv auf Anzeichen von bösartigen Aktivitäten wie unbefugtem Zugriff und Veränderung, Datenexfiltrierung und Ausführung unbekannter Skripts überwachen.

Die folgenden Trend Micro-Lösungen mit Unterstützung durch XGen™ Security schützen Nutzer und Unternehmen, indem sie die Skripts blocken und den Zugriff auf bösartige Domänen verhindern:

Indicators of Compromise (IoCs) umfasst der Originalbeitrag.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.