แฮ็กเกอร์ขโมยข้อมูลบัตรเครดิตกว่า 50,000 ใบ จากร้านอาหาร 300 แห่งในสหรัฐฯ

ข้อมูลการชำระเงินจากบัตรเครดิตของลูกค้าร้านอาหารมากกว่า 300 แห่งถูกขโมย จากการโจมตีด้วย web-skimming ที่มุ่งเป้าไปยังแพลตฟอร์มการสั่งซื้อออนไลน์ 3 แพลตฟอร์ม

Web-skimmers ที่ถูกใช้ในครั้งนี้คือมัลแวร์ Magecart โดยมัลแวร์จะใช้ JavaScript เพื่อเก็บรวบรวมข้อมูลบัตรเครดิตของผู้ซื้อออนไลน์ ที่พิมพ์ลงบนหน้าชำระเงิน

เมื่อเร็วๆ นี้ เครื่องมือตรวจจับภัยคุกคามของ Recorded Future ตรวจพบแคมเปญการโจมตีของ Magecart 2 แคมเปญ โดยมันจะทำการแทรกโค้ดที่เป็นอันตรายลงในแพลตฟอร์มการสั่งซื้อออนไลน์ของ MenuDrive, Harbortouch และ InTouchPOS ทำให้สามารถขโมยข้อมูลบัตรเครดิตออกไปได้กว่า 50,000 ใบ และมีการนำไปเสนอขายบนดาร์กเว็บเรียบร้อยแล้ว

รายละเอียดแคมเปญ

แคมเปญแรกเริ่มต้นเมื่อวันที่ 18 มกราคม พ.ศ. 2565 ด้วยการโจมตีร้านอาหารกว่า 80 แห่งที่ใช้แพลตฟอร์มของ MenuDrive และ 74 แห่งที่ใช้แพลตฟอร์มของ Harbortouch

ร้านอาหารเหล่านี้ส่วนใหญ่เป็นสถานประกอบการขนาดเล็กทั่วสหรัฐอเมริกามีการใช้แพลตฟอร์มจาก outsource ในกระบวนการสั่งซื้อออนไลน์ โดย Skimmer จะถูกแทรกเข้าไปในหน้าเว็บของร้านอาหารบนแพลตฟอร์มของบริการชำระเงินออนไลน์

มัลแวร์ที่ใช้กับ MenuDrive ใช้สคริปต์ 2 ตัว สคริปต์หนึ่งใช้สำหรับดึงข้อมูลบัตรชำระเงิน และอีกรายการสำหรับรวบรวมชื่อผู้ถือบัตร ที่อยู่อีเมล และหมายเลขโทรศัพท์

ส่วนบนแพลตฟอร์มของ Harbortouch จะใช้สคริปต์ตัวเดียวเพื่อขโมยข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) และข้อมูลบัตรชำระเงินทั้งหมด

แคมเปญที่สองมุ่งเป้าไปที่ InTouchPOS เริ่มต้นเมื่อวันที่ 12 พฤศจิกายน พ.ศ. 2564 แต่การ injected skimmer บนหน้าเว็ปไซต์เกิดขึ้นในเดือนมกราคม พ.ศ. 2565

จากลักษณะ และพฤติกรรมของ skimmer (การตั้งชื่อตัวแปร, โครงสร้าง, การหลีกเลี่ยงการตรวจจับ และรูปแบบการเข้ารหัส) นักวิจัยจาก Recorded Future คาดว่ามีความเชื่อมโยงกับแคมเปญอื่นๆ ก่อนหน้านี้ และที่ยังดำเนินการอยู่ในปัจจุบัน

ในกรณีของ InTouchPOS skimmer จะไม่ขโมยข้อมูลจากเว็บไซต์ แต่จะสร้างแบบฟอร์มการชำระเงินปลอม พร้อมกระบวนการชำระเงินโดยใช้บัตรเครดิต

สถานะปัจจุบัน

จากรายงานของ Recorded Future ทั้งสองแคมเปญยังคงดำเนินอยู่ และโดเมนที่ใช้สำหรับรับข้อมูลที่ถูกขโมยมายังคงออนไลน์ และใช้งานได้

Recorded Future ได้แจ้งเตือนไปยังหน่วยงานที่ได้รับผลกระทบจากการโจมตีทั้งหมด รวมไปถึงหน่วยงานบังคับใช้กฏหมาย และแพลตฟอร์มการชำระเงินทั้งหมดเรียบร้อยแล้วเช่นเดียวกัน

 

ที่มา :www.

Adobe ได้ประกาศเพิ่มการรับรองการใช้ Two-factor authentication (2FA) ในผลิตภัณฑ์ Magento เพื่อตอบสนองต่อการโจมตีที่มีจำนวนมากขึ้น ซึ่งการใช้ 2FA จะช่วยป้องกันผู้โจมตีที่พยายามทำการเข้าสู่ระบบโดยไม่ได้รับอนุญาต

ทีม Security Operation ของ Adobe ได้เปิดเผยว่าการโจมตีกว่า 75% ในผลิตภัณฑ์ Magento นั้นเกิดขึ้นในลักษณะ Web Skimming (หรือที่รู้จักคือ Magecart หรือ e-skimming) โดยหลังจากการบุกรุกแล้ว ผู้โจมตีจะพยายามใช้สคริปต์ในการลักลอบบันทึกข้อมูลบัตรเครดิตและการทำธุรกรรมบนเว็บไซต์ซึ่งใช้ Magento เพื่อพยายามขโมยข้อมูลการใช้บัตรเครดิตของลูกค้าซึ่งเมื่อเร็วๆ นี้บริษัท Sansec ได้เปิดเผยถึงโจมตีรูปแบบนี้ผ่านกลุ่มแฮกเกอร์สัญชาติเกาหลีเหนือ Lazarus หรือ Hidden Cobra ที่ได้ทำการขโมยข้อมูลการชำระเงินของลูกค้าผ่านทางเว็บไซต์ Magento

ทีม Security Operation ของ Adobe ยังกล่าวอีกว่าการใช้งาน 2FA ก่อนเข้าสู่ระบบพอร์ทัลของผู้ดูแลระบบ Magento จะช่วยตรวจสอบความถูกต้องและลดการโจมตี ซึ่งจะช่วยป้องกันผู้ที่ทำการบุกรกไม่ให้เข้าถึงพอร์ทัลของผู้ดูแลระบบด้วยบัญชีที่ถูกบุกรุก สำหรับส่วนขยายการใช้งาน 2FA นั้นจะติดตั้งเป็น Core Bundled Extension (CBE) โดยอัตโนมัติเมื่อติดตั้งหรืออัพเกรดเป็น Magento Open Source หรือ Commerce 2.4.X

ทั้งนี้ผู้ดูแลระบบหรือผู้ดูแลเว็บไซต์ควรทำการอัพเกรดระบบเพื่อใช้งาน 2FA ในป้องกันผู้ประสงค์ร้ายเข้าถึงระบบของผู้ดูแลระบบ

ที่มา: bleepingcomputer