>
Insiktレポート

オンライン注文プラットフォームに対するMagecartの攻撃が増加する中、最近のキャンペーンは311のレストランに感染しています

投稿: 2022年7月18日
作成者 : Insikt Group

insikt-logo-blog.png

編集者注 : 以下の投稿はレポート全文の抜粋です。分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。

脅威アクターは、Magecartの電子スキマーでeコマースWebサイトに感染し、オンライン買い物客の支払いカードデータ、請求情報、および個人を特定できる情報(PII)を盗みます。 この脅威に対抗するために、Recorded FutureのMagecart Overwatchプログラムは、数十万のeコマースWebサイトを監視して、eスキマー感染の存在を特定しています。 このレポートでは、3つのレストランのオンライン注文プラットフォームを標的とした最近の2つのMagecartキャンペーンについて詳しく説明しています。これにより、311のレストランでオンライン取引が明らかになりました。 対象読者は、金融機関の詐欺およびサイバー脅威インテリジェンス(CTI)チームと、eコマースのセキュリティ専門家です。

Executive Summary

レストラン向けのオンライン注文プラットフォームにより、顧客はオンラインで食品を注文でき、レストランは注文システムの開発の負担をアウトソーシングできます。 Uber EatsやDoorDashのようなトップエンドのオンライン注文プラットフォームが市場を支配している一方で、地元の小さなレストランにサービスを提供する小規模なオンライン注文プラットフォームも数百あり、小規模なプラットフォームでさえ、何百ものレストランをクライアントとして抱えている可能性があります。 その結果、オンライン注文プラットフォームは、単一のオンライン注文プラットフォームを侵害すると、通常、プラットフォームを使用するレストランのかなりの部分で実行されるオンライン取引が公開されるため、Magecartのeスキマー攻撃を行う脅威アクターにとって価値の高いターゲットになっています。

最近、 私たちは、MenuDriveHarbortouchInTouchPOSの3つの別々のプラットフォームを使用して、レストランのオンライン注文ポータルにeスキマースクリプトを注入した2つの進行中のMagecartキャンペーンを特定しました。 3つのプラットフォームすべてで、少なくとも311のレストランがMagecartのeスキマーに感染しており、この数は追加の分析によって増加する可能性があります。

これらのレストランのウェブサイトでのMagecart電子スキマー感染は、多くの場合、顧客の支払いカードデータとPII(請求情報と連絡先情報)の漏洩につながります。 現在までに、これらの感染したレストランから流出し、ダークウェブに売りに出された50,000件以上の侵害された支払いカード記録をすでに特定しています。

主な調査結果

  • オンライン注文プラットフォームのMenuDriveとHarbortouchは、同じMagecartキャンペーンの対象となり、MenuDriveを使用している80のレストランとHarbortouchを使用している74のレストランで電子スキマー感染が発生しました。 このキャンペーンは遅くとも2022年1月18日までに開始されたと思われ、このレポートの時点では、一部のレストランが感染したままです。ただし、キャンペーンに使用された悪意のあるドメイン (authorizen[.]ネット) は 2022 年 5 月 26 日以降ブロックされています。
  • オンラインプラットフォームInTouchPOSは、別の無関係なMagecartキャンペーンの標的となり、プラットフォームを使用している157のレストランでeスキマー感染が発生しました。 このキャンペーンは2021年11月12日までに開始され、このレポートの時点で、一部のレストランは感染したままであり、悪意のあるドメイン(bouncepilot[.]net と pinimg[.]org) アクティブなままにします。
  • 私たちは、これらの311のレストランからスキミングされ、ダークウェブに売りに出された50,000件以上の支払いカード記録を特定しました。 これらのレストランからさらに侵害されたレコードは、ダークウェブに売りに出されている可能性が高く、今後も掲載され続けるでしょう。
  • InTouchPOSを標的としたキャンペーンに関連する戦術、技術、手順(TTP)と侵害の痕跡(IOC)は、中央集権的なオンライン注文プラットフォームを使用していないeコマースWebサイトを標的とする別のキャンペーンのものと一致します。 この関連キャンペーンは、2020年5月以降、400以上のECサイトに感染しており、2022年6月21日現在でも30以上のWebサイトが感染しています。

背景

サイバー犯罪者は、多くの場合、最小限の作業で最も高い報酬を求めます。 これにより、彼らはレストランのオンライン注文プラットフォームをターゲットにするようになりました。たった1つのプラットフォームが攻撃を受けるだけで、数十、数百のレストランの取引が侵害される可能性があり、サイバー犯罪者は、実際にハッキングするシステムの数に見合わない膨大な量の顧客支払いカードデータを盗むことができます。 COVID-19のパンデミックは、レストランのイートインオプションが制限されたため、オンライン注文の流入によりこれを悪化させただけです。

2021年5月、Grabull、EasyOrdering、eDiningExpressなど、 5つのレストランのオンライン注文プラットフォームでの侵害について報告しました。 後者の2つのプラットフォーム(およびMenuDrive、Harbortouch、InTouchPOS)はすべて同様の方法で運営されており、プラットフォームが運営するドメインでホストされているレストラン固有の注文アプリケーションを提供しています。 その結果、脅威アクターが特定のオンライン注文プラットフォームの共有ライブラリに不正アクセスした場合、これらの加盟店は同じ共有ライブラリに依存していることが多いため、1回の侵害で多数の加盟店に影響を与えるようにサーバーサイドスクリプトを変更できます。

この最新の攻撃は、Harbortouchの最初の侵害ではありませんでした。 2015年、ハーバータッチは、不特定多数のレストランを暴露するデータ侵害を認めました。サイバーセキュリティブログ のKrebs on Security は、Harbortouchソフトウェアを実行している少なくとも4,200の店舗が侵害されたと報告しました。

編集者注 : 以下の投稿はレポート全文の抜粋です。分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。

関連