En rapport denne uge fra Roman Lvovsky, en israelsk sikkerhedsforsker hos Akamai Technology, demonstrerer tre sløringsmetoder, der for nylig er blevet opdaget af deres telemetri.
Magecart har opereret i årevis og inficeret forskellige e-handelswebsites, især dem der kører Magento og WooCommerce. Disse nye metoder har rettet sig mod websteder drevet af mad- og andre detailhandlere.
Magecarts operatører har en trefaset arbejdsgang, som vises i diagrammet nedenfor. Dette gør det sværere at opdage og neutralisere, da mange kode-scannere ikke straks markerer den injicerede kode. Arbejdsgangen gør det også nemmere at skjule den fulde angrebsinfrastruktur og kommandoservere, hvilket forlænger angrebet.
Malwaren bruger indlæsningsfasen til direkte at indsætte sin kode i webserverens sider. Efterfølgende faser bruges til at stjæle data såsom kunde kreditkortnumre og adgangskoder.
Angrebsprocesser skjult i en kommentarstreng
En af teknikkerne er ny og er ikke set før, i hvert fald ifølge Lvovsky. "Den overraskede os virkelig," skrev han i sit indlæg.
Den første fase-indlæser er camoufleret som en Meta Pixel-kode, en legitim Facebook besøgs- og reklamesporingstjeneste, der anvendes bredt. Denne kode undgår let skanning af malware-værktøjer.
Det farlige ved denne teknik er, at senere faser synes at kalde på en 404-fejlside fra en dårlig URL-placering. Selvom disse sider er frustrerende og ofte set af webbesøgende, bærer denne side en skjult del af malwaren. "Det forvirrede os først og fik os til at undre os over, om skimmeren ikke længere var aktiv på de websites, vi fandt," skrev han.
Men en grundig søgning i 404-koden fandt de faktiske angrebsprocesser skjult i en kommentarstreng. Hvad Lvovsky fandt var, at angriberen havde varslet standard 404-fejlsideskriptet, så enhver websidefejl ville bringe den inficerede side frem. Dette er ret snedigt og viser, at det kan tilgås af en række værktøjer, som Magecart-operatører bruger til at afslutte deres angreb og stjæle data.
En af grundene til Magecarts udholdenhed er, at dets operatører løbende udvikler deres angrebsmetoder, bliver mere sofistikerede og farlige til at finde bedre unddragelsesmetoder. Måske vil brugerne nu undersøge selv deres fejlsider for potentielle trusselskilder.