• XSS.stack #1 – первый литературный журнал от юзеров форума

“Keeper” Magecart Group Infects 570 Sites

Отслеживать

Derivative

HDD-drive
Пользователь
Регистрация
25.06.2020
Сообщения
43
Реакции
63
Key findings from new report released today by Gemini Advisory researchers:

  • Gemini discovered that the “Keeper” Magecart group, which consists of an interconnected network of 64 attacker domains and 73 exfiltration domains, has targeted over 570 victim e-commerce sites in 55 different countries from April 1, 2017 until the present. The Keeper exfiltration and attacker domains use identical login panels and are linked to the same dedicated server; this server hosts both the malicious payload and the exfiltrated data stolen from victim sites.
  • Over 85% of the victim sites operated on the Magento CMS, which is known to be the top target for Magecart attacks and boasts over 250,000 users worldwide. The country hosting the largest selection of these victim e-commerce sites was the United States, followed by the United Kingdom and the Netherlands.
  • Gemini uncovered an unsecured access log on the Keeper control panel with 184,000 compromised cards with time stamps ranging from July 2018 to April 2019. Extrapolating the number of cards per nine months to Keeper's overall lifespan, and given the dark web median price of $ 10 per compromised Card Not Present (CNP) card, this group has likely generated upwards of $ 7 million USD from selling compromised payment cards.
  • The Keeper Magecart group has been active for three years, over which time it has continually improved its technical sophistication and the scale of its operations. Based on this pattern of successful Magecart attacks, Gemini assesses with high confidence that Keeper is likely to continue launching increasingly sophisticated attacks against online merchants across the world.
Their full report: https://geminiadvisory.io/keeper-magecart-group-infects-570-sites/

They also provide appendices:

Appendix A: List of 64 unique Keeper attacker domains: https://geminiadvisory.io/wp-content/uploads/2020/07/Appendix-A-3.pdf

Appendix B: List of 73 exfiltration domains that Keeper used to extract stolen payment card data: https://geminiadvisory.io/wp-content/uploads/2020/07/Appendix-B-1.pdf

Appendix C: List of 570 compromised victim domains infected by Keeper: https://geminiadvisory.io/wp-content/uploads/2020/07/Appendix-C-1.pdf




.
 
Специалисты компании Gemini Advisory представили отчет о деятельности хакерской группировки Keeper, которая активна как минимум с 2017 года. Данная группа промышляет веб-скиммингом или атаками типа MageCart (названными так в честь первой группы хакеров, которая использовала эту тактику). То есть злоумышленники взламывают интернет-магазины и внедряют в их код вредоносные скрипты, которые воруют данные платежных карт, введенные покупателями при оформлении заказа.

Другие ИБ-компании отслеживают эту группировку под кодовыми названиями Magecart-группа № 8, CoffeeMokko и JS-Sniffers 4.

Исследователи из Gemini Advisory смогли разобраться в активности группы, так как хакеры использовали одинаковые панели управления для своих внутренних серверов, где собирали данные похищенных карт. Фингерпринтинг бэкэнд-панели помог специалистам проследить всю историю Keeper и обнаружить местоположение старых бэкэнд-панелей, URL-адреса инфраструктуры, а также составить список взломанных интернет-магазинов.
keeper-backend.png

Сообщается, что примерно 85% всех взломанных группой магазинов работали на платформе Magento, и большинство из них относились к сегменту среднего и малого бизнеса. Согласно рейтингам Amazon и Alexa, подавляющее большинство пострадавших сайтов были совсем небольшими, но среди жертв Keeper было и несколько громких имен, то есть сайтов, которые привлекали от 500 000 до 1 000 000 посетителей в месяц:
keeper-list.png


Изучая инфраструктуру хак-группы, аналитики Gemini Advisory обнаружили, что хакеры не сумели должным образом защитить одну из своих бэкэнд-панелей, где собирали информацию о ворованных картах. Полученные экспертами логи содержали данные примерно 184 000 карт, похищенных в период с июля 2018 года по апрель 2019 года.

Учитывая, что всего за девять месяцев злоумышленники смогли украсть данные о 184 000 платежных картах, специалисты подсчитали, что за весь период активности, начиная с 2017 года, группировка скомпрометировала примерно 700 000 карт.

Keeper_img2.png


«Учитывая, что текущая медианная цена одной CNP-карты в даркнете равна 10 долларам США, за время своего существования данная группировка, вероятно, заработала более 7 000 000 долларов США, похищая и продавая информацию о платежных картах», — предполагают исследователи.

Полный список всех скомпрометированных Keeper сайтов можно найти в отчете компании.

Источник: xakep.ru/2020/07/08/keeper-magecart/
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх