Abonnementssidene til et av verdens mest kjente forretnings- og finanstidsskrifter, Forbes Magazine, skal tidlig i går, norsk tid, ha blitt infisert av ondsinnet JavaScript-kode som sørget for at betalingsinformasjonen til nye abonnenter ble sendt til en ekstern webserver.
Skadevaren skal ha blitt oppdaget av Troy Mursch, forskningssjef i selskapet Bad Packets.
⚠️ WARNING ⚠️@Forbes Magazine subscription website (https://t.co/VqCahQHj9X) is infected with #magecart malware.
Exfil domain: fontsawesome[.]gq (??)@urlscanio results: https://t.co/Su3ziLZd3w
Deobfuscated code: https://t.co/jb0ULmq0Et pic.twitter.com/zlRGZ5k2hE
— Bad Packets Report (@bad_packets) 15. mai 2019
Ifølge Bleeping Computer skal skadevaren ha samlet inn både kortnummer, utløpsdato og CVV/CVC-kode, navn og kontaktinformasjon til kundene.
Magecart
Angrep av denne typen kalles for Magecart. Navnet er en paraplybetegnelse og spiller trolig på angrepene til dels har vært rettet mot e-handelsplattformer som Magento og OpenCart. Magecart er ikke én enkelt skadevare eller gruppe, men heller en kampanje eller metode for å stjele betalingskortinformasjon. Ifølge RiskIQ omfatter Magecart-kampanjen minst sju forskjellige, kriminelle grupper.
Magecart skal ha vært virksomhet i alle fall siden mars 2016. Kjente tilfeller inkluderer både Ticketmaster og British Airways, angrep som berørte mange tusen personer.
Ifølge The Register skal Mursch ha vært rask med å varsle Forbes om sin oppdagelse, men kun via epost. Han skal ikke ha fått noe svar, men Forbes skal i går ettermiddag ha tatt ned betalingsskjemaet. I ettertid har det blitt gjort tilgjengelig igjen.
En talsperson for Forbes sa sent i går kveld til The Register at det foreløpig ikke ser ut til at informasjon har kommet på avveie, men at dette fortsatt etterforskes. De som har benyttet skjemaet de siste døgnene, bør i tiden framover sjekke om det dukker opp ukjente transaksjoner i tilknytning til betalingskortet som er benyttet.
Leveransekjedeangrep
Det er ikke bare enkeltnettsteder som blir utsatt for Magecart-angrep.
– […] for hvert Magecart-angrep som når overskriftene, oppdager vi flere tusen andre som vi ikke offentliggjør. En betydelig andel av disse mindre kjente sikkerhetsbruddene involverer tredjeparts betalingsplattformer, skrev Yonathan Klijnsma hos RiskIQ i et blogginnlegg for to uker siden.
Blant tredjepartsleverandørene som skal ha blitt kompromittert i det siste, er analysetjenesten Picreel og CMS-verktøyet CloudCMS.
