Forskare hos NetLab, en avdelning inom kinesiska cybersäkerhetsfirman Qihoo 360, har avslöjat en pågående kreditkortsstöld-kampanj. Med hjälp av skadlig kod utgående från domänen magento-analytics[.]com har hackare riktat sig in på kreditkortsdetaljer från kunder på över 105 webbaffärer.

Pågående kreditkortsstöld hos hundratals webbaffärer

Forskare hos Qihoo 360 NetLab har under sju månader övervakat den skadliga domänen magento-analytics[.]com och avslöjar nu vad den används till: Under sju månader har hackare injicerat skadlig JavaScript-kod från domänen, in i legitima webbaffärer. När koden körs stjäl den automatiskt de kreditkortsdetaljer, namn och adress som kunder fyller i vid ett köp.

“Ta ett offer som exempel, www.kings2.com, när en användare laddar hemsidan så körs även JavaScript-koden. Om en användare väljer en produkt och går till ‘Betalningsinformation’ för att fylla i sina kortdetaljer, efter att ha fyllt i CVV, så kommer kortinformationen att laddas upp [till en fil på den skadliga domänen]”, sade forskarna hos NetLab i ett blogginlägg.

Forskare ännu osäkra på attackmetoden

Forskarna hos NetLab vet ännu inte vet exakt hur den skadliga koden hamnat på webbaffärerna. Men vad de alla har gemensamt är användanet av e-commerce plattformen Magento. Det är också därför hackarna har valt domänen magento-analytics[.]com: Denna har ingen anknytning till den faktiskt plattformen, utan används för att se legitim ut och dölja dess egentliga syfte.

Ett annat knep som hackarna använder sig av för att undvika upptäckt är att flytta den skadliga domänen. Enligt forskarna har domänen varit associerad med IP-adresser i USA, Ryssland och Kina.

I skrivande stund har forskarna identifierat 105 webbaffärer infekterade med den skadliga JavaScript-koden, men de tror att den egentliga siffran kan vara högre. Är du orolig att din webbaffär skulle vara i riskzonen? Kontakta CYPRO för en gratis konsultation kring hur du kan säkra din närvaro online.

Av Max Kardos, CYPRO.