Üç restoran sipariş platformu MenuDrive, Harbortouch ve InTouchPOS, en az 311 restoranın taviz verilmesiyle sonuçlanan iki Magecart gözden geçirme kampanyasının hedefiydi.
Üçlü ihlal, bu virüslü restoranlardan 50.000’den fazla ödeme kartı kaydının çalınmasına yol açtı ve karanlık ağda satışa sunuldu.
Siber güvenlik şirketi Recorded Future bir raporda, “Online sipariş platformları MenuDrive ve Harbortouch aynı Magecart kampanyası tarafından hedef alındı ve MenuDrive kullanan 80 ve Harbortouch kullanan 74 restoranda e-skimmer enfeksiyonlarına neden oldu” dedi.
“InTouchPOS, ayrı, alakasız bir Magecart kampanyası tarafından hedef alındı ve bu, platformu kullanan 157 restoranda e-skimmer enfeksiyonlarına neden oldu.”
Magecart aktörlerinin, çevrimiçi alışveriş yapanların ödeme kartı verilerini, fatura bilgilerini ve diğer kişisel olarak tanımlanabilir bilgilerini (PII) çalmak için e-ticaret web sitelerine JavaScript skimmer’ları bulaştırma geçmişi vardır.
İlk faaliyet grubunun 18 Ocak 2022 civarında başladığı ve kampanyada kullanılan kötü amaçlı alan adı 26 Mayıs’ta bloke edilene kadar devam ettiği düşünülüyor. InTouchPOS kampanyası ise 12 Kasım 2021’den beri aktif durumda.
MenuDrive ve Harbortouch enfeksiyonlarında kullanılan veri hırsızlığı etki alanının, ABD Federal Soruşturma Bürosu (FBI) tarafından Mayıs 2022’de bir flaş uyarısında da tespit edildiğini belirtmekte fayda var.
Saldırılar, müşteri verilerini sıyırmak ve saldırganın kontrolü altındaki bir sunucuya iletmek için hizmetlerdeki bilinen güvenlik açıklarından yararlanarak işletmelerin çevrimiçi ödeme sayfalarına kötü amaçlı PHP kodunun eklenmesini gerektirir.
Buradaki fikir, çevrimiçi sipariş platformlarını hedefleyerek, tek bir platforma bile saldırı yapıldığında, düzinelerce hatta yüzlerce restoranın işlemlerinin güvenliğinin ihlal edilebileceği ve “siber suçluların çok büyük miktarlarda müşteri ödeme kartı verilerini çalmasını” sağlayan bir senaryoya yol açabilmesidir. gerçekten hackledikleri sistem sayısıyla orantısız.”
Gelişme birkaç nedenden dolayı önemlidir. İlk olarak, izinsiz girişler, tehdit aktörünün Magento e-ticaret platformunu geleneksel hedeflemesinden bir sapmadır; bu, WooCommerce adlı bir WordPress eklentisine yönelik skimmer saldırılarındaki artışla örneklenen bir gerçektir.
Ayrıca, Magecart kampanyalarının artık kendi ödeme web sayfalarını tasarlamak yerine daha az bilinen çevrimiçi sipariş hizmetlerinden üçüncü taraf yazılımlara dayanan küçük, yerel restoranları nasıl ayırdığını ve saldırı vektörleri havuzunu etkin bir şekilde genişlettiğini vurgulamaya hizmet ediyor.
Araştırmacılar, “Birden fazla tüccara hizmet veren merkezi sipariş platformları, Magecart tehdit aktörlerinin müşteri PII ve ödeme kartı verilerini toplaması için benzersiz bir fırsat sunuyor” dedi. “Siber suçluların çevrimiçi sipariş platformlarını hedefleme konusundaki artan ilgisi, restoranlar için yeni bir risk boyutunu temsil ediyor.”