Hackerlar ortaya British Airways veri ihlali arkasında

Computer Security News

Güvenlik uzmanları, RiskIQ son British Airways veri ihlali arkasında Hackerlar MageCart suç çetesi olduğunu bildirdi.

MageCart en az 2015 yılından bu yana aktif edilmiş ve e-ticaret web sitelerinde ödeme kartı ve diğer hassas verileri çalmak için bir sürü ödün başardı.

Bir kepçe komut dosyasında hedef Web siteleri ödeme kartı veri çekmek için enjekte edilerek cyber çete çalışır ve en kısa zamanda web sitesi güvenilir değil, Javascript katıştırılmış bir parçası HTML şablonuna ekler.

Kötü amaçlı komut dosyası MagentoCore olarak adlandırılır ve müşterilerden gelen tuş vuruşlarını kaydeden ve bilgisayar korsanları tarafından kontrollü bir sunucuya gönderir.

Genellikle, saldırganların onları Web siteleri çok sayıda erişim sağlayan üçüncü taraf özellikleri uzlaşma çalışın.

Uzmanlar, RiskIQ MageCart grup hedeflenen krizi British Airways karşı yürütülen iddia gizli kalmasını komut dosyasının özelleştirilmiş bir sürümünü kullanarak.

Bu belirli saldırısı için belgili tanımlık suçla ilgili havayolu karşı özel bir altyapı kullanılır.

“Bu saldırı ile geçmişte ne gördüğümüz için karşılaştırıldığında basit ama hedefi iyi belirlenmiş bir yaklaşım olduğunu Magecart formları gelişigüzel yakaladı kepçe. Bu belirli kepçe çok nasıl İngiliz nefes borusu ödeme sayfası, saldırganların dikkatle nasıl körü körüne düzenli Magecart kepçe enjekte yerine bu sayfanın hedef kabul bize ayarlandığı attuned.” RiskIQ analiz Birleşik.

“Bu saldırıda kullanılan altyapı yalnızca British Airways aklımda kurulmuştur ve bilerek yakalanmamak için normal ödeme ile karıştırmak komut hedeflenen. Etki alanı adı baways.com gibi açılan sunucu yolu bu kanıtı gördük”

Web sitesi tarafından yüklenen tüm komut dosyalarını analiz sonra güvenlik araştırma bazı değişiklikler nerede hackerlar altındaki komut dosyası sorunları neden önlemek için kod birkaç satır eklendi Modernizr JavaScript kütüphanede buldum. JavaScript kütüphanesi 21 Ağustos 20:49 GMT güncellenmiştir.

Kötü amaçlı komut dosyası British Airways Web sitesi Bagaj talep bilgi sayfasında yüklendi. Suçlular tarafından bağlanmış olan kodu ödeme bilgileri müşterinin doğrudan hacker sunucuya göndermek Modernizr izin ver.

Script Web ve mobil uygulama kullanıcıların veri çalmak saldırgan izin.

British Airways çalıntı veri JSON biçiminde havayolu tarafından kullanılan geçerli etki alanını andıran baways.com üzerinde barındırılan bir sunucuya gönderildi.

Hackerlar Comodo şüphe yükselterek önlemek için bir SSL sertifikası satın aldı.

“Etki alanı Romanya’da bulunan ve, aslında, Time4VPS adında bir VPS sağlayıcı parçası Litvanya’da uyarlanmıştır 89.47.162.248 üzerinde ev sahipliği yaptı. Oyuncuları da bir SSL sertifikası yüklü. İlginçtir, onlar bir ücretli sertifika ile Comodo ücretsiz LetsEncrypt sertifika, meşru bir sunucu gibi görünmesini sağlamak büyük olasılıkla yerine gitmeye karar verdi.” RiskIQ takım diyor.

Şu anda, o hala nasıl MageCart çete British Airways Web sitesinde kötü amaçlı kod enjekte başardı belli değil.


Leave a Reply

Your email address will not be published. Required fields are marked *