Magecart war die Schadsoftware, die vor einigen Jahren hinter den Datenschutzverletzungen bei British Airways und Ticketmaster steckte, und leider ist sie immer noch aktiv und gesund. Das jüngste Opfer scheint OXO zu sein, eine Marke für Haushaltswaren.
Magecart schleust bösartiges Javascript in Websites ein, die von kompromittierten Servern gehostet werden. Dieses Javascript wird in den Webbrowsern der Kunden ausgeführt, wenn diese die Website besuchen, und sahnt die Kreditkartennummern der Verbraucher ab, um sie an den Server des Angreifers zu senden. Die Angreifer aktualisieren ständig die Domänennamen, die sie zum Hosten dieser Skripte verwenden, um der Entdeckung zu entgehen.
Glücklicherweise sind Forscher weiterhin auf der Jagd nach Magecart und es ist einfach, die Kompromittierung zu erkennen, indem man nach Links zu diesem bösartigen Code sucht. Wir haben neulich einen Tweet gesehen, der uns zu einer schnellen Suche veranlasste:
Magecart finden
Wenn Censys während eines Scans auf Hosts mit offenem Port 80 stößt, stellen wir eine HTTP-GET-Anfrage für die Root-Seite des Servers. Wir analysieren und indizieren die zurückgegebene HTTP-Antwort in durchsuchbare Felder, wie HTML-Body und Server-Header. Wir speichern diesen Inhalt und ermöglichen es den Benutzern, sowohl die Header als auch den rohen HTML-Inhalt zu durchsuchen.
Da Magecart bösartiges Javascript in die Root-Seite von Websites injiziert, ist es einfach, über Censys nach infizierten Websites zu suchen, indem man nach dem bekannten bösartigen Code in dem von uns gespeicherten Roh-HTML sucht. Wir haben eine Liste von Domänen zusammengestellt, die mit Magecart in Verbindung stehen, und zwar aus der Magecart-Domänenliste von diesem OTX-Impuls. Wir haben mit der folgenden Abfrage nach Stellen gesucht, die mit dieser GET-Anfrage übereinstimmen:
https://censys.io/ipv4?q=%22dittm.org%22+OR+%22g-analytics.com%22+OR+%22google-analytics.is%22+OR+%22jquery-js.com%22+OR+%22analytic.is%22+OR+%22google-analytics.cm%22
Wir haben die Ergebnisse dieser Abfrage manuell überprüft, um sicherzustellen, dass der HTML-Code im HTTP(S)-Body einen Skript-Link zu einer dieser Domänen enthält und nicht nur eine String-Übereinstimmung an anderer Stelle im Body, also ein False Positive, vorliegt. Bei einer größeren Menge von Ergebnissen könnte dies leicht mit einem Skript automatisiert werden.
Anhalten von Magecart
Neben Website-Sicherheitsfunktionen wie getrennten Rechten und Berechtigungen sowie Anwendungssicherheitspraktiken und -aktualisierungen kann der Browser auch zum Schutz der Daten des Endbenutzers eingesetzt werden. Mit der Subresource-Integritätsfunktion (SRI) können Sie Skripte, auf die Sie verlinken, mit einem kryptografischen Fingerabdruck versehen und erzwingen, dass der geladene Code übereinstimmt, bevor er ausgeführt wird. Dies würde zwar nicht verhindern, dass eine Website verändert wird, aber es würde verhindern, dass der Code auf dem Client ausgeführt wird, wodurch Magecart und ähnliche Malware effektiv blockiert würde.
Ein zweiter Schutzmechanismus des Browsers, den man sich zunutze machen sollte, ist die Funktion " Content Security Policy"(CSP) in modernen Browsern, mit der der Website-Besitzer kontrollieren kann, welcher clientseitige Code Rechte hat, wenn er von der Website geladen wird. CSP verfügt über eine Reihe von Kontrollmechanismen, die dazu beitragen, die Integrität der Skripte zu gewährleisten, die dem Kunden von der Website präsentiert werden.
