Bedrohungsakteure infizieren E-Commerce-Websites mit Magecart-E-Skimmern, um Zahlungskartendaten, Rechnungsinformationen und personenbezogene Daten (PII) von Online-Käufern zu stehlen. Um dieser Bedrohung entgegenzuwirken, überwacht das Magecart Overwatch-Programm von Recorded Future Hunderttausende von E-Commerce-Websites, um das Vorhandensein von E-Skimmer-Infektionen zu erkennen. In diesem Bericht werden zwei aktuelle Magecart-Kampagnen detailliert beschrieben, die auf Online-Bestellplattformen von Restaurants abzielten und zur Offenlegung von Online-Transaktionen bei 311 Restaurants führten. Die Zielgruppe sind Betrugs- und Cyber-Threat-Intelligence-Teams (CTI) sowie E-Commerce-Sicherheitsexperten von Finanzinstituten.

Executive Summary

Online-Bestellplattformen für Restaurants ermöglichen es Kunden, online Essensbestellungen aufzugeben und erlauben Restaurants, den Aufwand der Entwicklung eines Bestellsystems auszulagern. Während hochkarätige Online-Bestellplattformen wie Uber Eats und DoorDash den Markt dominieren, gibt es auch Hunderte kleinerer Online-Bestellplattformen, die kleine, lokale Restaurants bedienen – und selbst kleine Plattformen können Hunderte von Restaurants als Kunden haben. Infolgedessen sind Online-Bestellplattformen zu einem begehrten Ziel für Bedrohungsakteure geworden, die Magecart-E-Skimmer-Angriffe durchführen, denn die Kompromittierung einer einzigen Online-Bestellplattform führt in der Regel zur Offenlegung der Online-Transaktionen eines erheblichen Teils der Restaurants, die die Plattform nutzen.

Kürzlich haben wir zwei laufende Magecart-Kampagnen identifiziert, die E-Skimmer-Skripte in die Online-Bestellportale von Restaurants eingeschleust haben und dabei drei verschiedene Plattformen verwenden: MenuDrive, Harbortouch und InTouchPOS. Auf allen drei Plattformen wurden mindestens 311 Restaurants mit Magecart-E-Skimmern infiziert, eine Zahl, die durch weitere Analysen wahrscheinlich noch steigen wird.

Durch die Magecart-E-Skimmer-Infektionen auf den Websites dieser Restaurants werden häufig die Zahlungskartendaten und PII (Rechnungs- und Kontaktdaten) der Kunden offengelegt. Bis heute haben wir bereits über 50.000 kompromittierte Zahlungskartendaten dieser infizierten Restaurants identifiziert, die offengelegt und im Dark Web zum Verkauf angeboten wurden.

Wichtige Erkenntnisse

• Die Online-Bestellplattformen MenuDrive und Harbortouch waren Ziel derselben Magecart-Kampagne. 80 Restaurants, die MenuDrive nutzten, und 74, die Harbortouch nutzten, wurden mit E-Skimmer infiziert. Diese Kampagne begann wahrscheinlich spätestens am 18. Januar 2022, und zum Zeitpunkt dieses Berichts war ein Teil der Restaurants noch immer infiziert; die für die Kampagne verwendete bösartige Domain (authorizen[.]net) ist seit dem 26. Mai 2022 gesperrt.
• Die Online-Plattform InTouchPOS war das Ziel einer separaten, unabhängigen Magecart-Kampagne, die zu E-Skimmer-Infektionen bei 157 Restaurants führte, die die Plattform nutzten. Diese Kampagne begann spätestens am 12. November 2021, und zum Zeitpunkt dieses Berichts war ein Teil der Restaurants noch immer infiziert und die bösartigen Domänen (bouncepilot[.]net und pinimg[.]org) Bleib aktiv.
• Wir haben mehr als 50.000 Zahlungskartendatensätze identifiziert, die von diesen 311 Restaurants abgeschöpft und im Dark Web zum Verkauf angeboten wurden. Weitere kompromittierte Datensätze dieser Restaurants wurden wahrscheinlich im Dark Web zum Verkauf angeboten und werden dies auch weiterhin tun.
• Die Taktiken, Techniken und Verfahren (TTPs) sowie die Indikatoren für eine Kompromittierung (IOCs) der auf InTouchPOS abzielenden Kampagne stimmen mit denen einer anderen Kampagne überein, die auf E-Commerce-Websites abzielt, die keine zentrale Online-Bestellplattform verwenden. Diese damit verbundene Kampagne hat seit Mai 2020 über 400 E-Commerce-Websites infiziert, wobei am 21. Juni 2022 immer noch über 30 dieser Websites infiziert waren.

Hintergrund

Cyberkriminelle streben häufig nach der höchsten Vergütung für den geringsten Arbeitsaufwand. Dies hat sie dazu gebracht, die Online-Bestellplattformen von Restaurants ins Visier zu nehmen. Wird auch nur eine einzige Plattform angegriffen, können die Transaktionen von Dutzenden oder gar Hunderten von Restaurants kompromittiert werden. Cyberkriminelle können dadurch in einem Ausmaß Unmengen an Zahlungskartendaten von Kunden stehlen, das in keinem Verhältnis zur Zahl der Systeme steht, die sie tatsächlich hacken. Die COVID-19-Pandemie hat diesen Zustand noch verschärft, da aufgrund der Einschränkung der Möglichkeiten der Restaurants, vor Ort zu essen, ein Anstieg der Online-Bestellungen zu verzeichnen war.

Im Mai 2021 berichteten wir über Verstöße bei fünf Online-Bestellplattformen für Restaurants, darunter Grabul, EasyOrdering und eDiningExpress. Die beiden letztgenannten Plattformen (sowie MenuDrive, Harbortouch und InTouchPOS) funktionieren alle auf ähnliche Weise: Sie bieten eine restaurantspezifische Bestellanwendung, die auf plattformbetriebenen Domänen gehostet wird. Wenn sich Bedrohungsakteure unbefugten Zugriff auf die gemeinsam genutzten Bibliotheken einer bestimmten Online-Bestellplattform verschaffen, können sie serverseitige Skripte so ändern, dass durch einen einzigen Angriff zahlreiche Händler betroffen sind, da diese Händler oft auf dieselben gemeinsam genutzten Bibliotheken angewiesen sind.

Dieser jüngste Angriff war nicht der erste Einbruch von Harbortouch. Im Jahr 2015 gab Harbortouch einen Datendiebstahl zu, der eine nicht näher genannte Zahl von Restaurants betraf; das Cybersicherheitsblog „Krebs on Security“ berichtete, dass mindestens 4.200 Geschäfte, die Harbortouch-Software verwenden, kompromittiert wurden.

Anmerkung der Redaktion: Der folgende Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, Klicken Sie hier um den Bericht als PDF herunterzuladen.