Eine neu entdeckte Skimming-Kampagne von Magecart hat ihre Wurzeln in einer früheren Angriffsaktivität, die bis in den November 2021 zurückreicht.
Wie Malwarebytes in einer Analyse vom Dienstag feststellte, sind die beiden Malware-Domänen „scanalytic[.]org“ und „js.staticounter[.]net“, die den Code für das Abschöpfen von Kreditkarten enthalten, Teil einer breiteren Infrastruktur, die für die Angriffe genutzt wird.
„Wir konnten diese beiden Domains mit einer früheren Kampagne vom November 2021 in Verbindung bringen, die unseres Wissens der erste Fall eines Skimmers war, der die Nutzung virtueller Maschinen überprüft hat“, so Jérôme Segura. „Beide Domains enthalten jedoch keinen VM-Erkennungscode mehr. Es ist unklar, warum die Bedrohungsakteure ihn entfernt haben, es sei denn, er verursachte mehr Probleme als Nutzen.“
Die frühesten Beweise für die Aktivitäten der Kampagne, die auf den zusätzlich entdeckten Domains basieren, deuten darauf hin, dass die Kampagne mindestens bis Mai 2020 zurückreicht.
Magecart bezieht sich auf ein Cybercrime-Syndikat, das aus Dutzenden von Untergruppen besteht, die sich auf Cyberangriffe spezialisiert haben, bei denen digitale Kreditkarten gestohlen werden, indem JavaScript-Code in E-Commerce-Schaufenster eingefügt wird, in der Regel auf den Kassenseiten.
Dazu verschaffen sich die Angreifer entweder direkt oder über Drittanbieter, die Software für die Zielseiten bereitstellen, Zugang zu Websites.
Während die Angriffe im Jahr 2015 durch die E-Commerce-Plattform Magento bekannt wurden (der Name Magecart setzt sich aus „Magento“ und „Warenkorb“ zusammen), haben sie sich inzwischen auch auf andere Alternativen ausgeweitet, darunter ein WordPress-Plugin namens WooCommerce.
Einem von Sucuri im April 2022 veröffentlichten Bericht zufolge hat sich WordPress zur wichtigsten CMS-Plattform für Kreditkarten-Skimming-Malware entwickelt und Magento im Juli 2021 überholt. Die Skimmer verstecken sich auf den Websites in Form von gefälschten Bildern und scheinbar harmlosen JavaScript-Theme-Dateien.
Außerdem entfielen in den ersten fünf Monaten des Jahres 2022 61% der bekannten Skimming-Malware auf WordPress-Websites, gefolgt von Magento (15,6%), OpenCart (5,5%) und anderen (17,7%).
„Angreifer folgen dem Geld und es war nur eine Frage der Zeit, bis sie ihren Fokus auf die beliebteste E-Commerce-Plattform im Internet richten würden“, sagte Ben Martin von Sucuri damals.