Magecart, eine berüchtigte Gruppe von Cyberkriminellen, die dafür bekannt ist, sensible Daten von E-Commerce-Websites zu stehlen, hat einen hinterhältigen Plan enthüllt, der sich ein scheinbar harmloses Element des Internets zunutze macht – die 404-Fehlerseite. Diese innovative Taktik, die von der Akamai Security Intelligence Group entdeckt wurde, ist eine von drei Varianten, die von Magecart eingesetzt werden. Sie beinhaltet das Verstecken von Schadcode im digitalen Abgrund von 404-Fehlerseiten, um heimlich die Kreditkarteninformationen von Kunden zu stehlen.
Wie wurden 404-Seiten zum Tummelplatz für Cyberkriminelle?
Bei diesem von der Magecart-Gruppe orchestrierten Cyberangriff manipulieren Hacker die 404-Fehlerseite einer Website – die Seite, die angezeigt wird, wenn eine Webseite nicht existiert oder einen defekten Link aufweist. Sie verstecken bösartigen Code auf dieser scheinbar harmlosen Seite, um ahnungslosen Besuchern Kreditkarteninformationen zu stehlen. Der versteckte Code präsentiert Benutzern ein gefälschtes Formular und fordert sie zur Eingabe sensibler Kreditkartendaten auf. Diese gestohlenen Daten werden dann heimlich an die Hacker weitergegeben, getarnt als harmlose Bildanfragen. Der innovative Ansatz macht die Erkennung zu einer Herausforderung und unterstreicht die Notwendigkeit robuster Cybersicherheitsmaßnahmen zum Schutz von Online-Transaktionen und Benutzerinformationen.
Schauen wir uns genauer an, wie dieser Magecart-Karten-Skimming-Hack, der 404-Fehlerseiten ausnutzt, tatsächlich funktioniert:
- Zielauswahl: Der erste Schritt für Magecart-Hacker besteht darin, ihre Ziele zu identifizieren, zu denen in erster Linie E-Commerce-Websites gehören, die auf beliebten Plattformen wie Magento und WooCommerce basieren. Einige Opfer dieser Kampagne waren prominente Organisationen im Lebensmittel- und Einzelhandelssektor.
- Verschleierung von Schadcode: Sobald ein Ziel ausgewählt ist, wenden die Hacker eine innovative Technik an. Sie manipulieren die 404-Fehlerseite der Website, die Seitenbesucher sehen, wenn sie versuchen, auf eine Webseite zuzugreifen, die nicht existiert, verschoben wurde oder einen toten Link enthält.
- Versteckt sich vor aller Augen: Anstatt ihren Schadcode direkt in den Code der Website einzufügen, verstecken die Magecart-Akteure ihn auf der 404-Fehlerseite. Diese Taktik ist besonders clever, da sie in früheren Magecart-Kampagnen noch nicht angewendet wurde. Auf diese Weise haben sie eine neue Möglichkeit, der Entdeckung zu entgehen.
- Der Skimmerlader: Der Skimmerlader ist eine kritische Komponente des Angriffs. Es kann verschiedene Tarnungen annehmen, beispielsweise als Meta-Pixel-Code-Snippet erscheinen oder sich in bereits vorhandenen Inline-Skripten auf der manipulierten Checkout-Webseite verstecken.
- Nicht vorhandene Ressourcen abrufen: Der Loader initiiert eine Abrufanforderung an einen relativen Pfad namens „icons“. Dieser Pfad ist auf der Zielwebsite nicht vorhanden, was zu einem „404 Not Found“-Fehler führt. Auf den ersten Blick mag es wie ein harmloser Fehler oder ein inaktiver Skimmer erscheinen.
- In HTML-Kommentare gehüllt: Bei näherer Betrachtung enthält der Loader jedoch einen regulären Ausdrucksabgleich, der nach einer bestimmten Zeichenfolge im HTML der 404-Fehlerseite sucht. Wenn diese Zeichenfolge gefunden wird, wird eine verkettete Base64-codierte Zeichenfolge angezeigt, die geschickt in einem HTML-Kommentar verborgen ist.
- Schädliches JavaScript enthüllt: Wenn diese Base64-kodierte Zeichenfolge dekodiert wird, wird der JavaScript-Skimmer angezeigt, der auf allen 404-Fehlerseiten verborgen bleibt.
- Verdeckte Datenexfiltration: Wenn der Skimmer aktiv ist, wird den Website-Besuchern ein gefälschtes Formular angezeigt. Dieses betrügerische Formular fordert Benutzer zur Eingabe vertraulicher Informationen auf, darunter Kreditkartennummer, Ablaufdatum und Sicherheitscode. Unbemerkt vom Opfer erhält es in dem Moment, in dem es diese Daten eingibt, eine gefälschte „Sitzungs-Timeout“-Fehlermeldung.
- Datenexfiltration: Im Hintergrund werden alle gestohlenen Informationen Base64-kodiert und über eine Bildanforderungs-URL an den Angreifer gesendet, wobei die Zeichenfolge als Abfrageparameter enthalten ist. Dieser betrügerische Ansatz maskiert die Datenexfiltration als scheinbar harmlosen Bildabrufvorgang, was es für Tools zur Überwachung des Netzwerkverkehrs schwierig macht, ihn zu identifizieren.
- Gestohlene Informationen: Durch die Dekodierung der Base64-Zeichenfolge erhält der Angreifer jedoch Zugriff auf persönliche Daten und Kreditkarteninformationen, was möglicherweise zu Identitätsdiebstahl und finanziellen Verlusten für die Opfer führt.
Dieser raffinierte Angriff verdeutlicht die sich weiterentwickelnden Taktiken der Magecart-Hacker, die ständig neue Wege finden, ihren Schadcode zu verbergen und die Sicherheit von Online-Shops zu gefährden. Es unterstreicht die Notwendigkeit erhöhter Wachsamkeit beim Schutz sensibler Informationen und die Notwendigkeit robuster Cybersicherheitsmaßnahmen, um sowohl Unternehmen als auch Verbraucher in einer zunehmend digitalen Welt zu schützen.
Weitere Informationen dazu finden Sie im offiziellen Bericht.
Hervorgehobener Bildnachweis: Erik Mclean/Unsplash
Source: Hacker beginnen, 404-Fehlerseiten zu nutzen, um Kreditkarten zu stehlen
