研究人員發(fā)現(xiàn)，Magecart的攻擊活動(dòng)一直在利用三個(gè)在線餐廳訂餐系統(tǒng)盜取那些毫無(wú)戒心的顧客的支付卡憑證，并且攻擊影響了大約300家使用這些服務(wù)的餐廳，迄今已泄露了數(shù)萬(wàn)張卡的信息。

多次進(jìn)行攻擊的Magecart團(tuán)伙將e-skimmer腳本注入到了使用這三個(gè)獨(dú)立平臺(tái)的在線訂購(gòu)門戶。來(lái)自Recorded Future的研究人員在本周的一篇博文中透露，針對(duì)MenuDrive、Harbortouch和InTouchPOS進(jìn)行的攻擊，一個(gè)似乎在去年11月開(kāi)始的，另一個(gè)是在1月。

攻擊的具體內(nèi)容

Recorded Future's Insikt Group的研究人員在報(bào)告中寫(xiě)道，這三個(gè)平臺(tái)上，至少有311家餐廳被Magecart感染，隨著更深入的分析，這個(gè)數(shù)字可能會(huì)繼續(xù)增加。

Magecart是一個(gè)網(wǎng)絡(luò)犯罪集團(tuán)的總稱，他們會(huì)使用盜卡技術(shù)從銷售點(diǎn)（POS）或電子商務(wù)系統(tǒng)使用的支付卡中竊取憑證。并且他們通常最終會(huì)在暗網(wǎng)的黑客論壇上出售這些被盜的憑證。

研究人員指出，在Recorded Future觀察到的兩個(gè)攻擊活動(dòng)中，那些受影響的餐館網(wǎng)站往往會(huì)導(dǎo)致客戶的支付卡數(shù)據(jù)和PII（他們的賬單信息和聯(lián)系信息）發(fā)生泄露。

他們說(shuō)，到目前為止，研究人員已經(jīng)從暗網(wǎng)上發(fā)布的活動(dòng)中發(fā)現(xiàn)了5萬(wàn)多條被破壞的支付記錄，他們預(yù)計(jì)未來(lái)會(huì)有更多被盜數(shù)據(jù)被發(fā)布出來(lái)。

研究人員發(fā)現(xiàn)，MenuDrive和Harbortouch是同一個(gè)Magecart攻擊者的攻擊目標(biāo)，這一攻擊活動(dòng)導(dǎo)致80家使用MenuDrive的餐館和74家使用Harbortouch的餐館感染了e-skimmer病毒。

他們?cè)谔又兄赋?，這個(gè)攻擊活動(dòng)可能是不晚于2022年1月18日開(kāi)始的，截至本報(bào)告發(fā)布，仍然有一部分餐館受到了感染。然而，研究人員確定該攻擊活動(dòng)的惡意域名為authorizen[.]net，5月26日以來(lái)就已經(jīng)被封鎖。

研究人員說(shuō)，一個(gè)單獨(dú)的、不相關(guān)的Magecart攻擊活動(dòng)甚至在更早就針對(duì)InTouchPOS進(jìn)行了攻擊，此活動(dòng)最遲在2021年11月12日開(kāi)始。在那次攻擊活動(dòng)中，有157家使用該平臺(tái)的餐館被感染e-skimmers，而且與該攻擊活動(dòng)有關(guān)的惡意域名bouncepilot[.]net和pinimg[.org仍然十分活躍。

此外，據(jù)Recorded Future稱，針對(duì)InTouchPOS的攻擊活動(dòng)使用的策略和破壞指標(biāo)與自2020年5月以來(lái)，針對(duì)400個(gè)從事不同類型交易的電子商務(wù)網(wǎng)站的其他網(wǎng)絡(luò)犯罪活動(dòng)非常相似。研究人員說(shuō)，截至6月21日，相關(guān)攻擊活動(dòng)中的30多個(gè)受影響的網(wǎng)站仍然在受到不同程度的影響。

誘人的數(shù)據(jù)

研究人員指出，雖然像Uber Eats和DoorDash這樣的集中式餐廳訂餐平臺(tái)在這類系統(tǒng)的市場(chǎng)中占主導(dǎo)地位，而且比受這些活動(dòng)影響的平臺(tái)要知名得多，但互聯(lián)網(wǎng)上數(shù)百個(gè)為當(dāng)?shù)夭蛷d服務(wù)的小型平臺(tái)仍然是網(wǎng)絡(luò)犯罪分子的重要攻擊目標(biāo)。

他們說(shuō)，即使是小規(guī)模的平臺(tái)也可能有數(shù)以百計(jì)的餐館作為客戶，這意味著針對(duì)一個(gè)較小的平臺(tái)攻擊就可以泄露出數(shù)十種在線交易和支付卡的信息。事實(shí)上，這些平臺(tái)對(duì)攻擊者來(lái)說(shuō)是非常有吸引力的，研究人員指出，他們更傾向于用最少的工作量尋求最高的回報(bào)。

一位安全專家指出，一般來(lái)說(shuō)，電子商務(wù)網(wǎng)站在安全方面一直面臨著很大的挑戰(zhàn)，而且往往會(huì)包含來(lái)自第三方或供應(yīng)鏈合作伙伴的代碼，這些代碼很容易被攻擊者破壞，并可能對(duì)下游產(chǎn)生更大的影響。

網(wǎng)絡(luò)安全公司PerimeterX的首席營(yíng)銷官在給媒體的一封電子郵件中寫(xiě)道，這是用來(lái)解釋網(wǎng)絡(luò)攻擊生命周期的一個(gè)很好的例子，由于網(wǎng)絡(luò)攻擊的周期性和連續(xù)性，導(dǎo)致網(wǎng)站的數(shù)據(jù)被大量泄露，這也就是Magecart攻擊的結(jié)果，這也為另一個(gè)網(wǎng)站的刷卡、憑證填充或賬戶接管攻擊提供了資源。

本文翻譯自：https://threatpost.com/magecart-restaurant-ordering-systems/180254/