Ein aktueller Hackerangriff der Magecart-Gruppe hat es auf die 404-Fehlerseiten von Online-Händler-Webseiten abgesehen, auf denen sie Schadcode verstecken, um Kundenkreditkarteninformationen zu stehlen. Laut der Akamai Security Intelligence Group handelt es sich dabei um eine von drei beobachteten Varianten. Die anderen beiden Methoden verbergen den Code im „onerror“-Attribut des HTML-Bildtags und in einem Bildbinary.

Der Schwerpunkt dieser Angriffskampagne liegt auf Magento- und WooCommerce-Websites, wobei einige der betroffenen Unternehmen in den Bereichen Lebensmittel und Einzelhandel renommiert sind.

Die 404-Seiten-Taktik

Alle Websites verfügen über 404-Fehlerseiten, die angezeigt werden, wenn ein Besucher eine nicht existierende oder verschobene Seite aufruft. Die Hacker nutzen diese Standard-„404 Nicht gefunden“-Seiten, um den schädlichen Code zu verbergen und zu laden.

Laut Akamai’s Bericht ist diese Tarnmethode innovativ und bisher bei Magecart-Angriffen nicht gesehen worden. Der manipulierte Schadcode startet eine Anfrage an einen relativen Pfad namens „icons“. Da dieser Pfad auf der Website nicht existiert, resultiert die Anfrage in einem „404 Nicht gefunden“-Fehler. Bei genauerer Untersuchung stellte sich heraus, dass die schädliche Last ein spezifisches Muster in der zurückgegebenen HTML der 404-Seite suchte. Dieser versteckte JavaScript-Schadcode war in allen 404-Seiten enthalten.

Da die Anfrage an einen Erstparteipfad gerichtet ist, würden die meisten Sicherheitstools sie übersehen.

Datenklau in Aktion

Der schädliche Code zeigt ein gefälschtes Formular an, das die Website-Besucher mit sensiblen Daten, wie ihrer Kreditkartennummer, Ablaufdatum und Sicherheitscode, ausfüllen sollen. Nach der Eingabe erhalten die Opfer eine gefälschte „Sitzungszeitüberschreitung“-Fehlermeldung. Im Hintergrund werden alle Daten kodiert und über eine Bildanfrage-URL an den Angreifer gesendet.

Diese Methode macht es schwierig, den Angriff zu erkennen, da sie wie eine harmlose Bildanfrage aussieht. Doch die Dekodierung der Daten offenbart persönliche und Kreditkarteninformationen.

Diese 404-Seiten-Manipulation zeigt, wie raffiniert und vielseitig die Magecart-Akteure agieren und wie sie es immer schwerer machen, ihre schädlichen Codes auf kompromittierten Websites zu entdecken und zu bereinigen.