Hackarna bakom de British Airways dataintrång avslöjade

Computer Security News

Säkerhetsexperter på RiskIQ rapporterade att hackarna bakom den senaste British Airways dataintrång är MageCart brottslighet gänget.

MageCart har varit aktiva sedan minst 2015 och lyckats kompromissa massor av e-handel webbplatser att stjäla betalkort och andra känsliga data.

Cyber gänget fungerar genom att injicera ett skimmer skript i målet webbplatser att suga betalning kortdata och så snart som webbplatsen äventyras, det tillför en inbäddad del av Javascript till HTML-mallen.

Det skadliga skriptet kallas MagentoCore och det registrerar tangenttryckningar från kunder och skickar dem till en server som kontrolleras av hackare.

Vanligtvis, försöker angriparna kompromissa Tredjepartsfunktioner som kunde låta dem få tillgång till ett stort antal webbplatser.

Experterna på RiskIQ hävdar att gruppen MageCart genomförde en riktad attack mot de British Airways med hjälp av en anpassad version av skriptet för att förbli hemlig.

För denna särskilda attack används brottslingarna en särskild infrastruktur mot flygbolaget.

”Denna attack är en enkel men mycket målinriktade strategi jämfört med vad vi sett tidigare med den Magecart skimmer som tog former urskillningslöst. Detta särskilt skimmer är mycket anpassade till hur British Airways betalningssidan ställs in, som berättar att angriparna noga övervägt hur man rikta denna webbplats istället för att blint injicera den regelbundna Magecart skimmern ”. RiskIQ analys staterna.

”Den infrastruktur som används i denna attack inrättades endast med British Airways i åtanke och riktade avsiktligt skript som skulle smälta in i normala betalningar för att undvika upptäckt. Vi såg ett bevis för detta på den domän namn baways.com samt den droppe server sökvägen ”.

Efter att analysera alla skript läses in av webbplatsen, säkerhet forskarna fann några ändringar i Modernizr JavaScript biblioteket, där hackarna har lagt några rader kod i botten för att undvika att orsaka problem i skriptet. JavaScript-biblioteket ändrades den 21 augusti, 20:49 GMT.

Det skadliga skriptet lästes in från sidan bagage anspråk information på webbplatsen British Airways. Koden som lades av brottslingarna låta funktionsidentifieringsbiblioteket skicka betalningsinformation från kunden direkt till hackare server.

Manuset får angriparen att stjäla användarnas data från både webbplatsen och den mobila applikationen.

Data stulen från de British Airways sändes i form av JSON till en server som värd på baways.com som liknar den legitima domän som används av flygbolaget.

Hackare köpt ett SSL-certifikat från Comodo att undvika att höja misstanke.

”Domänen var värd på 89.47.162.248 som ligger i Rumänien och är, i själva verket en del av en VPS-leverantör som heter Time4VPS baserat i Litauen. Aktörer också lastade servern med ett SSL-certifikat. Intressant, de beslutat att gå med en betald certifikat från Comodo istället för ett gratis LetsEncrypt certifikat, sannolikt så att det visas som en legitim server ”. RiskIQ teamet säger.

För närvarande, är det ännu inte klart hur MageCart gänget har lyckades injicera skadlig kod i webbplatsen British Airways.


Leave a Reply

Your email address will not be published. Required fields are marked *