Hacker di belakang British Airways Data pelanggaran mengungkapkan

Computer Security News

Pakar keamanan di RiskIQ melaporkan bahwa para hacker di belakang hari British Airways data pelanggaran MageCart kejahatan geng.

MageCart telah aktif sejak setidaknya 2015 dan berhasil kompromi banyak e-commerce website untuk mencuri pembayaran kartu dan data sensitif lainnya.

Geng cyber beroperasi dengan menyuntikkan sebuah skimmer script di situs target untuk mengalirkan data kartu pembayaran, dan segera setelah website terganggu, hal itu menambah sepotong tertanam Javascript HTML template.

Skrip berbahaya disebut MagentoCore dan merekam keystrokes dari pelanggan dan mengirimkan mereka ke sebuah server yang dikendalikan oleh hacker.

Biasanya, para penyerang mencoba untuk kompromi fitur-fitur pihak ketiga yang bisa membiarkan mereka mengakses sejumlah besar situs web.

Para ahli di RiskIQ mengklaim bahwa kelompok MageCart dilakukan serangan bertarget terhadap British Airways menggunakan versi yang disesuaikan script untuk tetap tersembunyi.

Untuk serangan ini spesifik, penjahat menggunakan infrastruktur yang berdedikasi terhadap maskapai.

“Serangan ini adalah pendekatan sederhana tetapi sangat bertarget dibandingkan dengan apa yang telah kita lihat sebelumnya dengan Magecart skimmer yang meraih bentuk tanpa pandang bulu. Skimmer tertentu ini adalah sangat selaras bagaimana halaman pembayaran Airway Inggris dibentuk, yang mengatakan kepada kita bahwa para penyerang dengan hati-hati dipertimbangkan cara untuk menargetkan situs ini bukannya membabi buta menyuntikkan skimmer Magecart reguler.” analisis RiskIQ Amerika Serikat.

“Infrastruktur yang digunakan dalam serangan ini dibentuk hanya dengan British Airways dalam pikiran dan sengaja ditargetkan skrip yang akan berbaur dengan pembayaran normal untuk menghindari deteksi. Kami melihat bukti ini pada baways.com nama domain serta jalan server drop”

Setelah menganalisis semua script dimuat oleh website, peneliti keamanan ditemukan beberapa perubahan di Modernizr JavaScript Perpustakaan, di mana para hacker ditambahkan beberapa baris kode di bagian bawah untuk menghindari menyebabkan masalah untuk script. Perpustakaan JavaScript diubah pada tanggal 21 Agustus 20:49 GMT.

Skrip berbahaya diambil dari halaman informasi klaim bagasi situs web British Airways. Kode yang ditambahkan oleh para penjahat biarkan Modernizr mengirim informasi pembayaran dari nasabah langsung ke server para hacker.

Script memungkinkan penyerang untuk mencuri data pengguna dari website dan aplikasi mobile.

Data dicuri dari British Airways dikirim dalam bentuk JSON untuk server host di baways.com menyerupai domain sah digunakan oleh maskapai.

Para hacker membeli sertifikat SSL dari Comodo untuk menghindari peningkatan kecurigaan.

“Domain adalah host di 89.47.162.248 yang terletak di Rumania dan ini, pada kenyataannya, Bagian dari sebuah penyedia VPS yang bernama Time4VPS berbasis di Lithuania. Aktor juga dimuat server dengan sertifikat SSL. Menariknya, mereka memutuskan untuk pergi dengan sertifikat dibayar dari Comodo bukan sertifikat gratis LetsEncrypt, mungkin untuk membuatnya tampak seperti server sah.” Tim RiskIQ mengatakan.

Saat ini, hal ini masih tidak jelas bagaimana geng MageCart telah berhasil menyuntikkan kode berbahaya di website British Airways.


Leave a Reply

Your email address will not be published. Required fields are marked *