Les pirates derrière la British Airways violation de données a révélé

Computer Security News

Experts en sécurité au RiskIQ a indiqué que les pirates derrière la récente violation de données British Airways le gang de crime MageCart.

MageCart a été actif depuis au moins 2015 et a réussi à compromettre beaucoup de sites de commerce électronique pour voler la carte de paiement et autres données sensibles.

Le gang de cyber opère en injectant un script écumoire dans les sites Web de cible pour siphonner les données de carte de paiement, et dès que le site est compromis, il ajoute un morceau intégré de Javascript dans le modèle HTML.

Le script malveillant s’appelle MagentoCore et il enregistre les frappes de clients et les envoie à un serveur contrôlé par les pirates.

Habituellement, les attaquants tenter de compromettre les fonctionnalités de tierce partie qui pourraient leur faire accéder à un grand nombre de sites Web.

Les experts à RiskIQ affirment que le groupe de MageCart effectué une attaque ciblée contre le British Airways en utilisant une version personnalisée du script de rester secrète.

Pour cette attaque spécifique, les criminels a utilisé une infrastructure dédiée contre la compagnie aérienne.

« Cette attaque est une démarche simple mais très ciblée par rapport à ce que nous avons vu dans le passé avec le Magecart skimmer qui saisit les formes sans discernement. Cet écumeur particulière est beaucoup en harmonie avec comment page de paiement de British Airway est mis en place, qui nous dit que les attaquants examiné attentivement comment cibler ce site au lieu d’injection aveuglément l’écumeur Magecart régulière. » les États d’analyse RiskIQ.

« L’infrastructure utilisée dans cette attaque a été mis en place qu’avec British Airways à l’esprit et délibérément ciblé des scripts qui seraient fondent avec traitement pour éviter la détection des paiements normaux. Nous avons vu la preuve sur le baways.com de nom de domaine ainsi que le chemin de serveur goutte. »

Après que analyse de tous les scripts chargés par le site, les chercheurs en sécurité trouvent quelques modifications dans la bibliothèque Modernizr JavaScript, où les pirates a ajouté quelques lignes de code en bas pour éviter des problèmes au script. La bibliothèque JavaScript a été modifiée le 21 août, 20:49 GMT.

Le script malveillant a été chargé à partir de la page d’informations bagages réclamation sur le site British Airways. Le code qui a été ajouté par les criminels permettre Modernizr d’envoyer des informations de paiement auprès du client directement au serveur les pirates.

Le script a permis à l’attaquant de voler les données des utilisateurs du site et de l’application mobile.

Les données volées de la British Airways a été envoyées sous la forme de JSON à un serveur hébergé sur baways.com qui ressemble à du domaine légitime utilisé par la compagnie aérienne.

Les hackers a acheté un certificat SSL de Comodo afin d’éviter toute suspicion.

« Le domaine est hébergé sur 89.47.162.248 qui se trouve en Roumanie et est, en fait, partie d’un fournisseur de VPS nommé Time4VPS basé en Lituanie. Les acteurs chargement également le serveur avec un certificat SSL. Fait intéressant, ils ont décidé d’aller avec un certificat rémunéré de Comodo au lieu d’un certificat de LetsEncrypt libre, susceptible de faire apparaître comme un serveur légitime. » l’équipe de RiskIQ dit.

Actuellement, on ignore encore comment le gang de MageCart a réussi à injecter du code malveillant dans le site Web de British Airways.


Leave a Reply

Your email address will not be published. Required fields are marked *