Magecart Hacker infizieren 17.000 Websites

Zum gesamten Artikel


Cybersicherheitsforscher haben einen weiteren Supply-Chain-Angriff von Magecart Hackern auf mehr als 17.000 Webdomains identifiziert. Darunter Websites, die in den Top…

…im gesamtergebnis wurde schlampig recherchiert zu dem artikel!

Magecart Hacker infizieren 17.000 Websites

Cybersicherheitsforscher haben einen weiteren Supply-Chain-Angriff von Magecart Hackern auf mehr als 17.000 Webdomains identifiziert

zwischen den beiden worten “infizieren” und “identifizieren” gibt es doch einen kleinen, aber entscheidenden unterschied in diesem zusammenhang! es mögen ja 17000 angriffe auf websites stattgefunden haben, die man beobachten konnte.

aber im endergebnis waren es nur 33 wirklich infizierte und final kompromitierte url’s, aus denen man die kartendaten absaugen konnte

ein grosser unterschied, wie ich finde zu der reisserischen überschrift und einleitung im text!

Compromised sites

  • shop.triggerbrothers[.]com[.]au
  • custommagnetsdirect[.]com
  • lumbertrans[.]com
  • sunbuggy[.]com
  • saterday-race[.]com
  • windblox[.]com
  • cakedecoratingsolutions[.]com[.]au
  • network-ed[.]com[.]au
  • adooq[.]com
  • mz-at-shop[.]des
  • reddotarms[.]com
  • sprucela[.]com/
  • t[.]cltradingfl[.]com
  • worldcraftindustries[.]com
  • reallifecatholic[.]com
  • wbminternational[.]com
  • whistlerrides[.]ca/
  • smartsilk[.]com/
  • classictruckglass[.]com
  • oconnellsclothing[.]com/skin/
  • purefruittechnologies[.]com/
  • cornerstone-arch[.]com
  • minitruckusa[.]com
  • magformers[.]com
  • ravishingcosmetics[.]com
  • alamoshoes[.]com/
  • salonsavings[.]com/
  • bathroompanelsuperstore[.]com
  • britishfitness[.]com
  • bumperworksonline[.]com
  • niftyconcept[.]com
  • cornerstone-arch[.]com
  • decorprice[.]com

Magecart-Server (IOCs)

  • dnsden[.]biz
  • jquery-bin[.]com/gate[.]php
  • lumbertrans[.]com/errors/default/gate[.]php
  • luxbagsgirl[.]com/errors/default/gate[.]php
  • jsreload[.]pw/gate[.]php
  • saterday-race[.]com/gate[.]php
  • jqueryextd[.]at/gate[.]php
  • routingzen[.]com/gate[.]php
  • mz-at-shop[.]de/errors/default/gate[.]php
  • 93[.]187[.]129[.]249/gate[.]php
  • developer-js[.]info/gate[.]php
  • google-anaiytic[.]com/fonts[.]googleapis/gate[.]php
  • magento-analytics[.]com/gate[.]php
  • gtows[.]com

ThreatLabZ

aber gut, das passiert halt “autoren”, die um jeden preis die story bringen wollen und möglichst ohne hintergrund und pers. aufwand!
sind das dann überhaupt noch autoren, wenn diese in ihrem rss-feed eine meldung reinbekommen, den englischen text dann in ihren übersetzer hauen und danach dann diese buchstabensuppe 1 : 1 hier in den blog kopieren?
ich weiss nicht, ob die user dann dafür zuständig sind, diese “story” dann zu berichtigen bzw. mit ihren ergänzungen überhaupt erstmal zu einer guten geschichte werden zu lassen!?
sorry liebe autoren, grade bei einem solchen thema ist genauigkeit und wahrheit das einzige, was zählt! in einem solchen fachthema sollte man schon gesundes hintergrundwissen mitbringen und vor allem hintergrundquellen, die sich jenseits der bild-zeitung befinden ^^
ich hoffe mal, dass dieser text z.b. nur als leseprobe eingereicht wurde und hier kein geld dafür geflossen ist.

Danke für deine Kritik :blush:

Es ist tatsächlich so, dass anscheinend ca 17.000 Angriffe auf Websites stattgefunden haben.

Und es ist auch richtig, dass von diesen 17.000 angegriffenen Seiten der Angriff tatsächlich nur bei einem sehr geringen Teil erfolgreich war.

Es stimmt allerdings auch, dass die Hacker um eben auf diesen 33 wirklich erfolgreich infizierten Seiten Kundendaten stehlen zu können ihren “Schadcode” zuvor auf vielen tausend Seiten zur Anwendung gebracht haben. Siehe:

Although the attackers have had lots of success spreading their skimmer code to thousands of websites, they sacrificed targeting in favor of reach,” the researchers told The Hacker News.

Abgesehen von den HackerNews die auch diese zugegeben etwas " reisserische" Überschrift nutzten, kann der Artikel auch auf riskiq.com gerne nachgelesen werden, wo es wörtlich heißt:

Spray and Pray: Magecart Campaign Breaches Websites En Masse Via Misconfigured Amazon S3 Buckets

Ich hoffe das hiermit ein bisschen erklärt zu haben :blush:
Es ist ja auch richtig, es ist ein schwieriges Thema und wenn man nicht aufpasst entstehen schnell Missverständnisse.
Daher an dieser Stelle noch einmal ein herzliches Dankeschön für deine Aufmerksamkeit und deine Kritik.

Gruß
Sunny

2 Likes

vielen dank für deine rückmeldung!

den report dazu von riskiq kannte ich natürlich auch! es gibt so einige sites die für leute aus der
it-security branche täglich zum standard gehören.
etwas mehr hintergrund zu diesem fall bekommt man, wenn man sich zum beispiel mal den kollegen von https://abuse.ch anschaut, der beim letzten magecart-angriff derjenige war, der die involvierten c&c’s down gesetzt hat und sie anschl. zu sinkholes umgewandelt hatte ^^

oder man schaut sich mal die freunde an von:

https://www.falcon-sandbox.com
https://www.hybrid-analysis.com
https://www.crowdstrike.de

die jungs dort haben bisher bei allen magecart-hacks die verwendete software / malware etc. analysiert und identifiziert!

eine wirklich KOMPLETTE echtzeitanalyse des angriffs hier aus dem thema wurde (wie so oft vorher auch) vom Zscaler ThreatLabZ research team durchgeführt.
hier einmal die aktuelle analyse, wie gesagt ECHTZEIT!

https://www.zscaler.com/blogs/research/magecart-activity-and-campaign-enhancements

die analyse geht so tief, dass die dir am ende sogar sagen können, wie die abgewanderten daten final eingesetzt werden, um dann die konten leer zu räumen ^^

siehe z.b.:

wie du sehen kannst, sind die hier genannten quellen zur information und zum hintergrund etwas besser geeignet als halt “HackerNews” und konsorten :wink:

ich persönlich muss immer den rein technischen teil hinter solch einem vorfall sehen. alleine deswegen würden unsere meinungen, wie bei einem solchen bericht niemals konvergent sein :joy: aber ist ja überhaupt nicht schlimm - ich fand beispielsweise deinen stil in dem text echt supi (und so ergänzen sich zwei bereiche!)! :ok_hand:

1 Like