Malware
Angriff über kompromittierte Advertising Supply Chain
In den ersten Januartagen dieses Jahres stellten die Sicherheitsforscher von Trend Micro neue Betrugsaktivitäten von Magecart Group 5 und 12 fest.
Save to Folio
Originalbeitrag von Chaoying Liu und Joseph C. Chen, Trend Micro Cyber Safety Solutions Tea
In den ersten Januartagen dieses Jahres stellten die Sicherheitsforscher von Trend Micro eine erhöhte Aktivität bei einer der von ihnen beobachteten Gruppe von Web-Betrügern fest. Der bösartige Code (JS_OBFUS.C.) wurde auf 277 E-Commerce Websites hochgeladen. Es geht um Sites, die Ticketing-, Touring- und Flugbuchungsdienste anbieten, sowie selbst gehostete Warenkorb-Websites von führenden Kosmetik-, Gesundheits- und Bekleidungsmarken. Trend Micros Machine Learning- und Verhaltenserkennungstechnologien blockten sofort den bösartigen Code (Downloader.JS.TRX.XXJSE9EFF010).
Diese Aktivitäten sind ungewöhnlich, denn die Gruppe ist dafür bekannt, Code in einige kompromittierte E-Commerce-Seiten einzufügen und sich dann während der Überwachung unauffällig zu verhalten. Weitere Untersuchungen dieser Aktivitäten ergaben, dass der Skimming-Code nicht direkt in E-Commerce-Websites eingefügt wurde, sondern in eine JavaScript-Bibliothek eines französischen Online-Werbeanbieters Adverline. Die Forscher benachrichtigten die Firma, die zusammen mit CERT La Poste die nötigen Schritte zur Wiederherstellung einleitete.
Aufgrund des Angriffsmodus, nämlich Anvisieren von Drittanbieter-Dienstleistung, schlossen die Sicherheitsforscher auf die Magecart Group 5 als Hintermänner. RiskIQ berichtete von deren Verwicklung in mehrere Datendiebstähle wie etwa den bei Ticketmaster im letzten Jahr. Zusammen mit dem Sicherheitsforscher Yonathan Klijnsma von RiskIQ stellte Trend Micro fest, dass die aktuellen Aktivitäten von Magecart Group 12 durchgeführt wurden, vermutlich eine Untergruppe von Magecart. Technische Einzelheiten zum Ablauf des Angriffs durch Magecart Group 5 und 12 liefert der Originalbeitrag.
Fazit
Diese Angriffe führen ein weiteres Mal vor Augen, wie wichtig es ist, Infrastrukturen für den Betrieb von Websites, Anwendungen und die Speicherung von sensiblen Daten zu sichern. Software muss regelmäßig gepatcht und upgedatet werden; veraltete Komponenten oder Plugins von Drittanbietern müssen deaktiviert, eingeschränkt oder gesichert, und Anmeldeinformationen oder Authentifizierungsmechanismen müssen verstärkt werden. IT- und Sicherheitsteams sollten ihre Websites oder Anwendungen außerdem proaktiv auf Anzeichen von bösartigen Aktivitäten wie unbefugtem Zugriff und Veränderung, Datenexfiltrierung und Ausführung unbekannter Skripts überwachen.
Die folgenden Trend Micro-Lösungen mit Unterstützung durch XGen™ Security schützen Nutzer und Unternehmen, indem sie die Skripts blocken und den Zugriff auf bösartige Domänen verhindern:
- Trend Micro™ Security
- Trend Micro Smart Protection Suites und Worry-Free™ Business Security
- Trend Micro Network Defense
- Hybrid Cloud Security
Indicators of Compromise (IoCs) umfasst der Originalbeitrag.