แฮ็กเกอร์ขโมยข้อมูลบัตรเครดิตกว่า 50,000 ใบ จากร้านอาหาร 300 แห่งในสหรัฐฯ
ข้อมูลการชำระเงินจากบัตรเครดิตของลูกค้าร้านอาหารมากกว่า 300 แห่งถูกขโมย จากการโจมตีด้วย web-skimming ที่มุ่งเป้าไปยังแพลตฟอร์มการสั่งซื้อออนไลน์ 3 แพลตฟอร์ม
Web-skimmers ที่ถูกใช้ในครั้งนี้คือมัลแวร์ Magecart โดยมัลแวร์จะใช้ JavaScript เพื่อเก็บรวบรวมข้อมูลบัตรเครดิตของผู้ซื้อออนไลน์ ที่พิมพ์ลงบนหน้าชำระเงิน
เมื่อเร็วๆ นี้ เครื่องมือตรวจจับภัยคุกคามของ Recorded Future ตรวจพบแคมเปญการโจมตีของ Magecart 2 แคมเปญ โดยมันจะทำการแทรกโค้ดที่เป็นอันตรายลงในแพลตฟอร์มการสั่งซื้อออนไลน์ของ MenuDrive, Harbortouch และ InTouchPOS ทำให้สามารถขโมยข้อมูลบัตรเครดิตออกไปได้กว่า 50,000 ใบ และมีการนำไปเสนอขายบนดาร์กเว็บเรียบร้อยแล้ว
รายละเอียดแคมเปญ
แคมเปญแรกเริ่มต้นเมื่อวันที่ 18 มกราคม พ.ศ. 2565 ด้วยการโจมตีร้านอาหารกว่า 80 แห่งที่ใช้แพลตฟอร์มของ MenuDrive และ 74 แห่งที่ใช้แพลตฟอร์มของ Harbortouch
ร้านอาหารเหล่านี้ส่วนใหญ่เป็นสถานประกอบการขนาดเล็กทั่วสหรัฐอเมริกามีการใช้แพลตฟอร์มจาก outsource ในกระบวนการสั่งซื้อออนไลน์ โดย Skimmer จะถูกแทรกเข้าไปในหน้าเว็บของร้านอาหารบนแพลตฟอร์มของบริการชำระเงินออนไลน์
มัลแวร์ที่ใช้กับ MenuDrive ใช้สคริปต์ 2 ตัว สคริปต์หนึ่งใช้สำหรับดึงข้อมูลบัตรชำระเงิน และอีกรายการสำหรับรวบรวมชื่อผู้ถือบัตร ที่อยู่อีเมล และหมายเลขโทรศัพท์
ส่วนบนแพลตฟอร์มของ Harbortouch จะใช้สคริปต์ตัวเดียวเพื่อขโมยข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) และข้อมูลบัตรชำระเงินทั้งหมด
แคมเปญที่สองมุ่งเป้าไปที่ InTouchPOS เริ่มต้นเมื่อวันที่ 12 พฤศจิกายน พ.ศ. 2564 แต่การ injected skimmer บนหน้าเว็ปไซต์เกิดขึ้นในเดือนมกราคม พ.ศ. 2565
จากลักษณะ และพฤติกรรมของ skimmer (การตั้งชื่อตัวแปร, โครงสร้าง, การหลีกเลี่ยงการตรวจจับ และรูปแบบการเข้ารหัส) นักวิจัยจาก Recorded Future คาดว่ามีความเชื่อมโยงกับแคมเปญอื่นๆ ก่อนหน้านี้ และที่ยังดำเนินการอยู่ในปัจจุบัน
ในกรณีของ InTouchPOS skimmer จะไม่ขโมยข้อมูลจากเว็บไซต์ แต่จะสร้างแบบฟอร์มการชำระเงินปลอม พร้อมกระบวนการชำระเงินโดยใช้บัตรเครดิต
สถานะปัจจุบัน
จากรายงานของ Recorded Future ทั้งสองแคมเปญยังคงดำเนินอยู่ และโดเมนที่ใช้สำหรับรับข้อมูลที่ถูกขโมยมายังคงออนไลน์ และใช้งานได้
Recorded Future ได้แจ้งเตือนไปยังหน่วยงานที่ได้รับผลกระทบจากการโจมตีทั้งหมด รวมไปถึงหน่วยงานบังคับใช้กฏหมาย และแพลตฟอร์มการชำระเงินทั้งหมดเรียบร้อยแล้วเช่นเดียวกัน
ที่มา :www.