研究人员发现,一项Magecart活动一直在利用三个在线餐厅订购系统从毫无戒心的客户那里窃取支付卡凭据,并影响了大约300家使用该服务的餐厅。到目前为止,餐厅已经泄露了数万张卡片的信息。多次发动攻击的Magecart组织使用这三个独立平台将e-skimmer脚本注入在线订购门户网站。在本周的一篇博文中,RecordedFuture的研究人员透露,其中一次针对MenuDrive、Harbortouch和InTouchPOS的攻击似乎始于去年11月,另一起于1月开始。攻击的具体内容RecordedFuture旗下InsiktGroup的研究人员在报告中写道,这三个平台上至少有311家餐厅被Magecart感染,随着更深入的分析,这一数字可能会继续增加。Magecart是网络犯罪集团的一个总称,该集团使用卡片窃取技术从销售点(POS)或电子商务系统中使用的支付卡中窃取凭据。他们通常最终会在暗网上的黑客论坛上出售那些被盗的凭据。研究人员指出,在RecordedFuture观察到的两次攻击中,受影响的餐厅网站往往会导致客户的支付卡数据和PII(他们的账单和联系信息)被泄露。他们说,到目前为止,研究人员已经从暗网上发布的活动中发现了50,000多条受损的支付记录,他们预计未来会公布更多被盗数据。研究人员发现,MenuDrive和Harbortouch是同一个Magecart攻击者的目标,该活动使用e-skimmer病毒感染了80家使用MenuDrive的餐厅和74家使用Harbortouch的餐厅。他们在帖子中指出,这次攻击活动可能最迟于2022年1月18日开始,截至本报告发布时,一些餐厅仍受到感染。但是,研究人员将该活动的恶意域确定为authorizen[.]net,该域自5月26日以来已被阻止。研究人员表示,一个单独的、不相关的Magecart活动甚至更早以InTouchPOS为目标,最迟于2021年11月12日开始。在那次活动中,使用该平台的157家餐厅感染了e-skimmer,与该活动相关的恶意域bouncepilot[.]net和pinimg[.org仍然活跃。此外,根据RecordedFuture的说法,自2020年5月以来,针对InTouchPOS的活动使用的策略和妥协指标与其他针对400个从事不同类型交易的电子商务网站的网络犯罪活动非常相似。据研究人员称,截至6月21日,30余家受到相关攻击的受影响网站仍受到不同程度的影响。AlluringData研究人员指出,虽然像UberEats和DoorDash这样的中心化餐厅订餐平台在此类系统市场中占据主导地位,而且远比受这些活动影响的平台知名度高,但数百家为当地餐厅提供服务的小型平台仍然是此类系统的重要目标。网络罪犯。他们说,即使是小型平台也可能拥有数百家餐厅作为客户,这意味着对小型平台的攻击可能会泄露数十种在线交易和支付卡的信息。事实上,这些平台对攻击者非常有吸引力,研究人员指出,他们更倾向于以最少的工作量寻求最高的回报。一位安全专家指出,总的来说,电商网站在安全方面一直面临着很大的挑战,往往包含来自第三方或供应链合作伙伴的代码,很容易被攻击者攻破,对下游的影响可能更大。“这是一个很好的例子来解释网络攻击的生命周期,因为网络攻击的周期性和连续性,导致一个网站的数据大量泄露,这是Magecart攻击的结果,这也为另一个网站的刷卡提供了来源,凭据填充,或帐户接管攻击,本文翻译自:https://threatpost.com/magecart-restaurant-ordering-systems/180254/
