Hackers steal 50,000 credit cards from 300 U.S. restaurants

แฮ็กเกอร์ขโมยข้อมูลบัตรเครดิตกว่า 50,000 ใบ จากร้านอาหาร 300 แห่งในสหรัฐฯ

ข้อมูลการชำระเงินจากบัตรเครดิตของลูกค้าร้านอาหารมากกว่า 300 แห่งถูกขโมย จากการโจมตีด้วย web-skimming ที่มุ่งเป้าไปยังแพลตฟอร์มการสั่งซื้อออนไลน์ 3 แพลตฟอร์ม

Web-skimmers ที่ถูกใช้ในครั้งนี้คือมัลแวร์ Magecart โดยมัลแวร์จะใช้ JavaScript เพื่อเก็บรวบรวมข้อมูลบัตรเครดิตของผู้ซื้อออนไลน์ ที่พิมพ์ลงบนหน้าชำระเงิน

เมื่อเร็วๆ นี้ เครื่องมือตรวจจับภัยคุกคามของ Recorded Future ตรวจพบแคมเปญการโจมตีของ Magecart 2 แคมเปญ โดยมันจะทำการแทรกโค้ดที่เป็นอันตรายลงในแพลตฟอร์มการสั่งซื้อออนไลน์ของ MenuDrive, Harbortouch และ InTouchPOS ทำให้สามารถขโมยข้อมูลบัตรเครดิตออกไปได้กว่า 50,000 ใบ และมีการนำไปเสนอขายบนดาร์กเว็บเรียบร้อยแล้ว

รายละเอียดแคมเปญ

แคมเปญแรกเริ่มต้นเมื่อวันที่ 18 มกราคม พ.ศ. 2565 ด้วยการโจมตีร้านอาหารกว่า 80 แห่งที่ใช้แพลตฟอร์มของ MenuDrive และ 74 แห่งที่ใช้แพลตฟอร์มของ Harbortouch

ร้านอาหารเหล่านี้ส่วนใหญ่เป็นสถานประกอบการขนาดเล็กทั่วสหรัฐอเมริกามีการใช้แพลตฟอร์มจาก outsource ในกระบวนการสั่งซื้อออนไลน์ โดย Skimmer จะถูกแทรกเข้าไปในหน้าเว็บของร้านอาหารบนแพลตฟอร์มของบริการชำระเงินออนไลน์

มัลแวร์ที่ใช้กับ MenuDrive ใช้สคริปต์ 2 ตัว สคริปต์หนึ่งใช้สำหรับดึงข้อมูลบัตรชำระเงิน และอีกรายการสำหรับรวบรวมชื่อผู้ถือบัตร ที่อยู่อีเมล และหมายเลขโทรศัพท์

ส่วนบนแพลตฟอร์มของ Harbortouch จะใช้สคริปต์ตัวเดียวเพื่อขโมยข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) และข้อมูลบัตรชำระเงินทั้งหมด

แคมเปญที่สองมุ่งเป้าไปที่ InTouchPOS เริ่มต้นเมื่อวันที่ 12 พฤศจิกายน พ.ศ. 2564 แต่การ injected skimmer บนหน้าเว็ปไซต์เกิดขึ้นในเดือนมกราคม พ.ศ. 2565

จากลักษณะ และพฤติกรรมของ skimmer (การตั้งชื่อตัวแปร, โครงสร้าง, การหลีกเลี่ยงการตรวจจับ และรูปแบบการเข้ารหัส) นักวิจัยจาก Recorded Future คาดว่ามีความเชื่อมโยงกับแคมเปญอื่นๆ ก่อนหน้านี้ และที่ยังดำเนินการอยู่ในปัจจุบัน

ในกรณีของ InTouchPOS skimmer จะไม่ขโมยข้อมูลจากเว็บไซต์ แต่จะสร้างแบบฟอร์มการชำระเงินปลอม พร้อมกระบวนการชำระเงินโดยใช้บัตรเครดิต

สถานะปัจจุบัน

จากรายงานของ Recorded Future ทั้งสองแคมเปญยังคงดำเนินอยู่ และโดเมนที่ใช้สำหรับรับข้อมูลที่ถูกขโมยมายังคงออนไลน์ และใช้งานได้

Recorded Future ได้แจ้งเตือนไปยังหน่วยงานที่ได้รับผลกระทบจากการโจมตีทั้งหมด รวมไปถึงหน่วยงานบังคับใช้กฏหมาย และแพลตฟอร์มการชำระเงินทั้งหมดเรียบร้อยแล้วเช่นเดียวกัน

 

ที่มา :www.

ร้านค้าออนไลน์ที่ใช้ Magento ถูกแฮกกว่า 2000 ร้าน

Willem de Groot นักวิจัยที่เชี่ยวชาญในการติดตามการโจมตีในลักษณะ Magecart จาก Sanguine Security (SanSec) พบการโจมตี Magento ที่ใหญ่ที่สุดเท่าที่เคยตรวจจับได้ โดยมีร้านกระทบกว่า 2000 ร้าน

Magecart เป็นเรียกสำหรับการโจมตีที่แฮกร้านค้าที่ใช้ Magento แล้วแทรกโค้ดอันตรายเข้าไปเพื่อขโมยบัตรเครดิตของผู้ใช้งานร้านค้า

SanSec ระบุว่าร้านค้าที่ถูกโจมตีส่วนใหญ่ใช้ Magento รุ่น 1.x ซึ่งหมดระยะซัพพอร์ตตั้งแต่ 30 มิถุนายน 2020 ซึ่งผู้โจมตีรอให้หมดระยะซัพพอร์ตดังกล่าวถึงโจมตีช่องโหว่ โดยพบหลักฐานว่ามีการค้าขายช่องโหว่ remote code execution (RCE) ของ Magento รุ่น 1.x ในช่วงเวลาไล่เลี่ยกัน

ทั้งนี้ Adobe พยายามให้ผู้ใช้งาน Magento รุ่น 1.x อัปเดตเป็นรุ่นใหม่ 2.x แต่ยังพบว่าเว็บไซต์หลายแห่งยังคงไม่ยอมอัปเดต และใช้ web application firewalls (WAFs) ป้องกันช่องโหว่แทน

ผู้ใช้ Magento รุ่น 1.x ควรพิจารณาอัปเดตเพื่อความปลอดภัยในระยะยาว

ที่มา : ZDnet | Sansec

Adobe เพิ่มระบบ 2FA ในผลิตภัณฑ์ Magento เพื่อป้องกันการโจมตี Card Skimming Attack

Adobe ได้ประกาศเพิ่มการรับรองการใช้ Two-factor authentication (2FA) ในผลิตภัณฑ์ Magento เพื่อตอบสนองต่อการโจมตีที่มีจำนวนมากขึ้น ซึ่งการใช้ 2FA จะช่วยป้องกันผู้โจมตีที่พยายามทำการเข้าสู่ระบบโดยไม่ได้รับอนุญาต

ทีม Security Operation ของ Adobe ได้เปิดเผยว่าการโจมตีกว่า 75% ในผลิตภัณฑ์ Magento นั้นเกิดขึ้นในลักษณะ Web Skimming (หรือที่รู้จักคือ Magecart หรือ e-skimming) โดยหลังจากการบุกรุกแล้ว ผู้โจมตีจะพยายามใช้สคริปต์ในการลักลอบบันทึกข้อมูลบัตรเครดิตและการทำธุรกรรมบนเว็บไซต์ซึ่งใช้ Magento เพื่อพยายามขโมยข้อมูลการใช้บัตรเครดิตของลูกค้าซึ่งเมื่อเร็วๆ นี้บริษัท Sansec ได้เปิดเผยถึงโจมตีรูปแบบนี้ผ่านกลุ่มแฮกเกอร์สัญชาติเกาหลีเหนือ Lazarus หรือ Hidden Cobra ที่ได้ทำการขโมยข้อมูลการชำระเงินของลูกค้าผ่านทางเว็บไซต์ Magento

ทีม Security Operation ของ Adobe ยังกล่าวอีกว่าการใช้งาน 2FA ก่อนเข้าสู่ระบบพอร์ทัลของผู้ดูแลระบบ Magento จะช่วยตรวจสอบความถูกต้องและลดการโจมตี ซึ่งจะช่วยป้องกันผู้ที่ทำการบุกรกไม่ให้เข้าถึงพอร์ทัลของผู้ดูแลระบบด้วยบัญชีที่ถูกบุกรุก สำหรับส่วนขยายการใช้งาน 2FA นั้นจะติดตั้งเป็น Core Bundled Extension (CBE) โดยอัตโนมัติเมื่อติดตั้งหรืออัพเกรดเป็น Magento Open Source หรือ Commerce 2.4.X

ทั้งนี้ผู้ดูแลระบบหรือผู้ดูแลเว็บไซต์ควรทำการอัพเกรดระบบเพื่อใช้งาน 2FA ในป้องกันผู้ประสงค์ร้ายเข้าถึงระบบของผู้ดูแลระบบ

ที่มา: bleepingcomputer

Hackers Steal Customers’ Credit Cards From Newegg Electronics Retailer

Magecart กลุ่มแฮกเกอร์ที่อยู่เบื้องหลังของการขโมยข้อมูล Ticketmaster และ British Airways ทำการโจมตีเว็บไซต์ "Newegg" และขโมยข้อมูลบัตรเครดิตของลูกค้าทั้งหมดที่ป้อนข้อมูลบัตรเพื่อชำระเงินระหว่างวันที่ 14 สิงหาคม ถึง 18 กันยายน 2018 ตามการวิเคราะห์จาก Volexity และ RiskIQ

Magecart ใช้สิ่งที่นักวิจัยเรียกว่า digital credit card skimmer ทำการแทรก malicious Javascript code บนหน้า checkout ของเว็บไซต์ เพื่อทำการเก็บหน้าการชำระเงินของลูกค้าไว้และส่งไปยัง server ผู้โจมตี ทั้งนี้ย้อนกลับไปในปี 2015 Magecart ได้จดทะเบียนโดเมนชื่อ neweggstats(dot)com ซึ่งคล้ายกับโดเมน newegg(dot)com ที่ถูกต้องและมีการใช้รับใบรับรอง SSL ที่ออกโดย Comodo

หากเป็นหนึ่งในลูกค้า Newegg ที่ป้อนรายละเอียดบัตรเครดิตของตนบนเว็บไซต์ในระหว่างช่วงโจมตี ควรติดต่อธนาคารทันที เพื่อปิดการใช้งานบัตรและขอเปลี่ยนแปลงข้อมูลบัตรเครดิตใหม่

ทั้งนี้ปัจจุบันกลุ่ม Megacart นี้ถือเป็นกลุ่มแฮกเกอร์ที่ถูกพูดถึงบ่อย เนื่องจากได้ทำการโจมตีอย่างต่อเนื่อง โดยพุ่งเป้าไปที่การโจรกรรมข้อมูลสำคัญต่างๆ ดังนั้นองค์กรใดที่มีการทำธุรกรรมหรือเก็บข้อมูลที่สำคัญของผู้ใช้งาน ควรติดตามข่าวและระมัดระวังผู้โจมตีกลุ่มนี้เป็นพิเศษ ซึ่งสามารถใช้บริการที่เกี่ยวข้องกับ Dark web monitoring เพื่อช่วยสอดส่องข้อมูลที่อาจจะรั่วไหลไปในเว็บใต้ดิน หรือพฤติกรรมของกลุ่มแฮกเกอร์ต่างๆ ที่เคลื่อนไหวอยู่ในเว็บใต้ดินได้

ที่มา : thehackernews