Meyhod Skimmer
Infosec-onderzoekers hebben een nieuwe aanval van het Magecart-type gedetecteerd. De gebruikte dreiging heette Meyhod Skimmer en werd ontdekt op de loer op meerdere e-commerce websites. Onder de slachtoffers zijn Bsley, een populair bedrijf voor haarbehandelingsproducten, en het Chicago Architecture Center (CAC), een van de grootste culturele organisaties in die stad. Niet alleen werd de Meyhod Skimmer met succes ingebed in de getroffen websites, maar hij slaagde er ook in om daar meerdere maanden te blijven zonder te worden gedetecteerd.
Uit analyse bleek dat de Meyhod Skimmer lang niet zo complex is als sommige van de andere recente Magecart-bedreigingen, zoals de nieuwste Grelos-skimmer-varianten of de Ant and Cockroach-skimmer. Relatief simplistisch zijn is in dit geval geen nadeel, aangezien de hackers die verantwoordelijk waren voor het ontketenen van Meyhod uiteraard veel ervaring hadden met dit soort operaties. Ze hebben de dreiging zorgvuldig ontworpen om deze uiterst efficiënt te maken in het opgaan in de website van het slachtoffer. Infosec-onderzoekers merkten zelfs op dat elke geïnfecteerde website een Meyhoid Skimmer-dreiging bevatte die kleine variaties in de code vertoonde, wat aangeeft dat de cybercriminelen de tijd namen om hun malwaretool aan te passen aan het specifieke doelwit.
De methodologie van een Meyhod Skimmer-aanval zorgt ervoor dat de dreiging wordt opgesplitst over meer dan een dozijn functies, wat helpt bij verduistering. De beschadigde code zelf wordt toegevoegd aan legitieme JavaScript-bronnen die variëren van veelgebruikte JavaScript-bibliotheken tot op maat gemaakte code. De gewijzigde bronnen worden vervolgens ingebed in de winkelwagen en afrekenpagina's via scripttags die, in een vluchtige blik, kunnen worden aangezien voor een gewone oproep naar een bibliotheek. Een van de functies van de Meyhod Skimmer genaamd 'saveData' is belast met het verkrijgen van creditcardgegevens door gebruik te maken van jQuery-selectors. Alle verzamelde gegevens worden vervolgens geëxfiltreerd naar de Command-and-Control-servers die zijn ingesteld voor de bewerkingen via AJAX POST-verzoeken.
De Meyhod Skimmer laat zien dat het landschap van aanvallen in Magecart-stijl nog steeds in ontwikkeling is, waarbij cybercriminelen radicaal andere technieken toepassen. Het einddoel is echter hetzelfde gebleven: gevoelige betalingsinformatie doorbreken door e-commerce websites in gevaar te brengen.
Meyhod wijst op het steeds evoluerende en groeiende landschap van Magecart, dat diefstal van betalingsinformatie via gecompromitteerde e-commerce websites omvat.
