H steht für Hack: E-Commerce-Anbieter Volusion liefert Kreditkarten-Malware aus

Bei klassischen Magecart-Angriffen verschaffen sich Angreifer Zugang zu einer E-Shopping-Webseite und bauen Schadcode – meist unkenntlich gemachtes JavaScript – direkt in den Checkout-Prozess ein. Auf diese Weise sammeln sie die Bank- oder Kreditkartendaten der Kunden. Jetzt haben Angreifer diesen seit langem bekannten Angriff raffiniert auf die Cloud ausgedehnt, in dem sie direkt einen Provider für schlüsselfertige E-Shops geknackt haben.

Wie Sicherheitsforscher mehrerer Anti-Viren-Firmen auf Twitter berichten, wurde der E-Commerce-Anbieter Volusion gehackt und verteilt nun Schadcode direkt in die Shops seiner Kunden, was wiederum die Kunden der Shops gefährdet. Momentan wird der Schadcode an mindestens 6500 Webseiten ausgeliefert – darunter der Ticket-Shop der Live-Show der Sesamstraße in den USA.

Schadcode anscheinend noch aktiv

Volusion gibt an, mindestens 20.000 Kunden zu haben. Die Firma hatte in Pressemitteillungen öffentlich gemacht, dass sie Googles Cloud-Infrastruktur nutzt, um ihre Dienste anzubieten. Das haben sich die Angreifer augenscheinlich zu Nutze gemacht, da der JavaScript-Schadcode über ein API in der Google Cloud ausgeliefert wird. Auf diese Weise wird er automatisch in alle Kunden-Shops der Firma eingebettet und greift die Kreditkartendaten direkt auf der Seite ab, auf der die Kunden diese zum Bezahlen eingeben. Man kann nur erahnen, wie viele Daten den Angreifern jede weitere Minute in die Hände fallen, in denen der Code ausgeliefert wird. Bisher wurde er nicht entfernt, obwohl mehrere Sicherheitsfirmen die Firma Volusion öffentlich auf dessen Existenz hingewiesen haben und ein Sicherheitsforscher der Firma Check Point einen ausführlichen Artikel zu dem Thema veröffentlicht hat.

Wenn das Datum der letzten Änderung der Schadcode-Datei stimmt, dann ist die Malware seit mindestens dem 12. September im Umlauf. Google hat den Direktzugang zu der Datei von der eigenen Suchmaschine und via Chrome mittlerweile mit einer Malware-Warnung versehen, vermutet also offensichtlich, dass es sich um Schadcode handelt. Unseren Tests zufolge wird der Schadcode aber momentan nach wie vor in betroffene E-Shops eingebettet. Alles sieht danach aus, als ob nach wie vor Kredit- und Bankingdaten abgegriffen werden.

Volusion weiß seit mindestens dem Morgen des 7. Oktobers von den Angriffen, das lässt sich über Tweets nachverfolgen. In einer Veröffentlichung sagt die Firma, man hätte "die unangenehme Malware" am 9. Oktober "entfernt und zukünftige unbefugte Zugriffe verhindert." Das deckt sich allerdings nicht mit unseren Beobachtungen. Auf eine Anfrage von heise online zu diesen Erkenntnissen hat die Firma bisher nicht geantwortet und Journalisten-Kollegen anderer Verlage berichten Ähnliches.

Magecart-Angriffe weiter im Kommen

Das Einschleusen von JavaScript-Schadcode in Shop-Software ist stark in Mode. Einem kürzlich veröffentlichten Bericht der Analysten-Firma RiskIQ zufolge wurden in den vergangenen Monaten über 18.000 Webseiten auf diese oder ähnliche Arten infiziert. Das deckt sich mit den Erkentnissen von unabhängigen Sicherheitsforschern, die dieses Phänomen untersuchen. Fast alle Beobachter sind sich einig: Momentan sind die sogenannten Magecart-Angriffe so häufig wie nie. RiskIQ schreibt die von der Firma analysierten Angriffe einer Hackergruppe zu, die ebenfalls Magecart genannt wird. Allerdings ist diese Analyse unter Sicherheitsforschern umstritten. Es ist schwierig, genau festzustellen, ob alle diese Angriffe von einer Gruppe ausgeführt werden.

Wahrscheinlicher ist, dass es sich um eine lose Ansammlung von Cyber-Kriminellen handelt, die arbeitsteilig vorgehen und sich dieselben Command-and-Control-Server und ähnliche Malware-Versionen teilen. Das ist mittlerweile bei vielen kriminellen Hackern üblich. Allerdings ist es auch denkbar, dass sich im Schatten dieser gut organisierten Angreifer eine Reihe von Trittbrettfahrern tummeln, die ähnliche Methoden und fast identischen Schadcode verwenden. Die Tatsache, dass bei diesen Angriffen JavaScript-Malware verwendet wird, macht es Nachwuchs-Hackern einfach, den Schadcode von betroffenen Webseiten herunterzuladen, zu analysieren und zu kopieren. (fab)