take-away.jpg

在针对三个在线订购平台的两次网络浏览活动中,超过 300 家餐厅客户的支付卡详细信息被盗。

Web-skimmers 或 Magecart 恶意软件通常是 JavaScript 代码,当在线购物者在结帐页面上键入信用卡数据时,它会收集信用卡数据。

最近,Recorded Future的威胁检测工具发现了两个 Magecart 活动,将恶意代码注入 MenuDrive、Harbortouch 和 InTouchPOS 的在线订购门户。

结果,50,000 张支付卡被盗,并已在暗网上的各个市场上出售。

活动详情

第一次活动于 2022 年 1 月 18 日开始,使用 MenuDrive 和使用 Harbortouch 平台的 74 家餐厅有 80 家。

受影响餐厅的百分比

受影响餐厅的百分比 (记录未来)

这些餐厅中的大多数是美国各地的小型本地机构,使用该平台作为外包在线订购流程的具有成本效益的替代方案。

第一次活动的受害者地图

第一次 Magecart 活动的受害者地图 (记录的未来)

在这两个平台上,网络撇渣器都被注入到餐厅的网页及其在线支付服务平台上分配的子域中。

为 MenuDrive 部署的恶意软件使用了两个脚本,一个用于获取支付卡数据,另一个用于收集持卡人的姓名、电子邮件地址和电话号码,通过附加到“onmousedown”事件和“响应在帐户创建和结帐过程。”

MenuDrive 子域上的撇渣器示例

MenuDrive 子域上的撇渣器示例 (已记录的未来)

在 Harbortouch 上,注入的 skimmer 使用单个脚本窃取所有个人身份信息 (PII) 和支付卡数据。

在 Harbortouch 平台上注入的 Skimmer

在 Harbortouch 子域上注入的撇渣器 (已记录的未来)

针对 InTouchPOS 的第二次活动于 2021 年 11 月 12 日开始,但网页上的大多数撇渣器注入都发生在更晚的时间,即 2022 年 1 月。

InTouchPOS 感染加载程序 JS 和 skimmer 片段(绿色突出显示)

加载程序 JS 和 skimmer 片段(绿色)的 InTouchPOS 感染 (已记录的未来)

Recorded Future 在与 BleepingComputer 共享的一份报告中表示,撇取器和表征它的人工制品(变量命名、结构、混淆和加密方案)将其与较旧且仍在进行的活动联系起来。

在这种情况下,撇渣器不会从网站窃取详细信息,而是在有效目标上覆盖虚假支付表单,这些目标已准备好使用信用卡进行结帐过程。

当前状态

根据 Recorded Future 的说法,这两个活动都在进行中,并且它们相应的渗透域仍然在线并且可以运行。

安全公司已向所有受影响的实体发出警报,但尚未收到回复。执法机构和支付平台已得到相应通知。

在 MenuDrive 和 Harbortouch 的情况下,删除撇渣器需要扫描所有餐厅子域。

InTouchPOS 感染更容易被大多数安全扫描程序捕获,因为它使用 JavaScript 下载器作为撇取器,可以通过简单的代码比较来检测。

BleepingComputer 已联系所有三个平台就这些攻击发表评论,目前正在等待回复。

Tags: none

我有个想法