Penyerang menargetkan situs e-commerce Magento dengan yang baru skimming kartu malware yang secara dinamis dapat mengambil detail pembayaran dari halaman checkout transaksi online. Serangan tersebut, ditemukan oleh seorang peneliti dari perusahaan keamanan web Surcuri, terjadi ketika pengecer dan pembeli online sedang bersiap-siap menyambut hari belanja online Black Friday yang sibuk secara historis pada minggu ini.
Analis keamanan Sucuri Weston Henry menemukan serangan itu dalam bentuk injeksi JavaScript berbahaya, yang memiliki banyak varian dan situs target yang dibangun di platform e-commerce populer dengan dua cara berbeda, menurut postingan blog yang diterbitkan pada 26 November.
Salah satu caranya adalah dengan membuat formulir kartu kredit palsu untuk mencuri detail kartu, cara lainnya adalah dengan mengekstrak data langsung dari kolom pembayaran. “Pendekatan dinamis dan mekanisme enkripsi membuatnya sulit untuk dideteksi,” jelas analis keamanan Sucuri Puja Srivastava dalam postingannya. Data tersebut kemudian dienkripsi dan dieksfiltrasi ke server jarak jauh yang dikendalikan oleh penyerang.
Situs web berbasis Magento sering menjadi target penjahat dunia maya karena penggunaannya yang luas untuk e-commerce dan data pelanggan berharga yang mereka tangani, termasuk detail kartu pembayaran atau rekening bank. Dan pemindaian kartu — biasanya dilakukan oleh sekelompok penjahat dunia maya secara kolektif dikenal sebagai Magecart — adalah vektor serangan populer untuk mencuri data tersebut dari situs-situs tersebut.
Korban Cyber Ditargetkan Saat Pembelian Checkout
Henry menemukan skrip berbahaya tersebut selama pemeriksaan rutin situs berbasis Magento dengan SiteCheck Sucuri. “Alat tersebut mengidentifikasi sumber daya yang berasal dari domain yang masuk daftar hitam Dynamicopenfonts.app,” jelas analis keamanan Sucuri Puja Srivastava dalam postingan tersebut. Akhirnya, sumber daya tersebut ditemukan di dua lokasi di situs tersebut.
Salah satu lokasi ditemukannya adalah di dalam
Penyerang mengaburkan isi skrip eksternal untuk menghindari deteksi, “membuatnya sulit untuk diidentifikasi pada pandangan pertama,” kata Srivastava.
Setelah dijalankan, skrip hanya aktif pada halaman yang berisi kata “checkout” tetapi tidak termasuk kata “cart” di URL, dengan tujuan mengekstrak informasi sensitif kartu kredit dari kolom tertentu di halaman checkout.
Setelah menyelesaikan tugas berbahaya ini, malware mengumpulkan data pengguna tambahan melalui API Magento, termasuk nama pengguna, alamat, email, nomor telepon, dan informasi penagihan lainnya. “Data ini diambil melalui data pelanggan dan model penawaran Magento,” jelas Srivastava.
Game Anti Deteksi Malware Magento yang Kuat
Para peneliti menemukan bahwa para penyerang di balik malware ini telah berhati-hati dalam menggunakan berbagai teknik anti-deteksi untuk menyembunyikan aktivitas jahat mereka. Saat malware mengumpulkan data, pertama-tama ia mengkodekannya sebagai JSON dan kemudian mengenkripsinya secara XOR dengan “skrip” kunci untuk menambahkan lapisan kebingungan tambahan, demikian temuan para peneliti.
Data terenkripsi juga dikodekan Base64 sebelum dikirim melalui teknik beaconing ke server jarak jauh di staticfonts.com. Beaconing adalah metode dimana skrip atau program mengirimkan data secara diam-diam dari klien ke server jauh tanpa memperingatkan pengguna atau mengganggu aktivitas mereka.
Meskipun aplikasi yang sah seperti alat analisis juga menggunakan beaconing, pelaku kejahatan lebih menyukai teknologi ini karena teknologi ini merupakan cara yang tersembunyi dan sulit dideteksi untuk mengirimkan data yang dicuri, kata para peneliti.
Cara Mengamankan Situs E-Commerce Dari Serangan Siber
Untuk melindungi situs e-commerce dari skimmer kartu yang tersembunyi — terutama pada hari-hari sibuk berbelanja seperti Jumat Hitamyang merupakan tambang emas bagi penjahat dunia maya — Sucuri merekomendasikan administrator untuk melakukan audit keamanan rutin, memantau aktivitas yang tidak biasa, dan menerapkan firewall aplikasi Web (WAF) yang kuat untuk melindungi situs.
Mereka juga harus memastikan bahwa situs secara konsisten diperbarui dengan patch keamanan terbaru, karena “perangkat lunak yang ketinggalan jaman adalah target utama penyerang yang mengeksploitasi kerentanan pada plugin dan tema lama,” tulis Srivastava.
Administrator juga harus memastikan bahwa mereka menggunakan kata sandi yang kuat dan unik di situs e-niaga untuk meningkatkan keamanan dan menghindari agar kata sandi tersebut tidak mudah dibobol oleh penyerang. Terakhir, menerapkan pemantauan integritas file untuk mendeteksi perubahan tidak sah pada file situs web juga dapat berfungsi sebagai sistem peringatan dini.
