Hackers testen web skimming via routers in plaats van websites

Security-onderzoekers van IBM hebben kwaadaardige scripts ontdekt die zich richten op commerciële ‘Layer 7’-routers in plaats van websites om betaalkaartgegevens te stelen. De nieuwe techniek maakt zogenaamde web skimming moeilijker om te detecteren.

De scripts zijn ontworpen om betaalkaartgegevens uit online winkels te extraheren en gestolen informatie naar een externe webserver te uploaden, zo stellen onderzoekers van het IBM X-Force Incident Response and Intelligence Services (IRIS)-team in een nieuw rapport.

De onderzoekers zouden in totaal 17 scripts hebben gevonden, nadat de hackers de bestanden zelf hadden geüpload op VirusTotal, een webgebaseerde antivirus-aggregator. Dat zou gebeurd zijn tussen 11 april en 14 april van dit jaar. Het lijkt erop dat de hackers hebben getest of hun code zou worden gedetecteerd door de antivirusengines van VirusTotal.

Magecart-aanvallen

Deze ontdekking is volgens ZDNet een doorbraak in wat onderzoekers Magecart-aanvallen noemen, ook wel bekend als web skimming. Hierbij gaat het om aanvallen waarbij hackers schadelijke code in een online winkel plaatsen, die betaalkaartgegevens opneemt en steelt.

Magecart-code werd voorheen alleen geleverd op het niveau van de website, verborgen in JavaScript- of PHP-bestanden. De ontdekking nu kan gezien worden als een escalatie van dit type aanvallen naar een nieuw niveau, waarbij de kwaadaardige code op het niveau van de router wordt geïnjecteerd.

Het gaat om zogenaamde Layer 7-routers, die meestal worden geïnstalleerd op grote netwerken, zoals hotels, winkelcentra, luchthavens, casino’s, overheidsnetwerken en openbare ruimtes. Ze verschillen niet veel met andere routers, behalve dat ze het verkeer op de 7e laag (applicatieniveau) van het OSI-netwerkmodel kunnen manipuleren. Dat betekent dat ze kunnen reageren op verkeer op basis van meer dan alleen IP-adressen. Denk dan bijvoorbeeld aan cookies , domeinnamen en browsertypen.

Magecart#5

Magecart#5 is een bekende hackergroep, die zich bezighoudt met het hacken van IT-bedrijven en het plaatsen van kaartstelende code in hun producten. Ze gebruikten ook content delivery networks (CDN’s) en advertenties om de kwaadaardige code te leveren. Magecart-aanvallen of web skimming zijn al minstens drie jaar aan de gang, maar nemen aan populariteit toe.

Of hackers de scripts op echte routers hebben geïmplementeerd is vooralsnog onduidelijk, maar de kans daarop is aanzienlijk. Slachtoffers kunnen zelf niet zoveel doen om te voorkomen dat een Magecart-aanval op routerniveau wordt uitgevoerd. Enkel het mijden van online shoppen via niet-vertrouwde of openbare netwerken, zoals die in hotels, luchthavens of winkelcentra. Bij online shoppen vanuit huis kunnen gebruikers wel nog steeds worden blootgesteld aan Magecart-aanvallen die kwaadaardige code op het niveau van de website invoegen.

Gerelateerd: Populaire routers en NAS-apparaten kwetsbaar voor aanval op afstand