Cyberthreat.id – Tiga platform pemesanan restoran MenuDrive, Harbortouch, dan InTouchPOS menjadi target dari dua kampanye skimming Magecart yang mengakibatkan kompromi dari setidaknya 311 restoran.

Dilansir The Hacker News, trio pelanggaran telah menyebabkan pencurian lebih dari 50.000 catatan kartu pembayaran dari restoran yang terinfeksi ini dan diposting untuk dijual di web gelap.

"Platform pemesanan online MenuDrive dan Harbourtouch ditargetkan oleh kampanye Magecart yang sama, yang mengakibatkan infeksi e-skimmer di 80 restoran menggunakan MenuDrive dan 74 menggunakan Harbortouch," ungkap Perusahaan Keamanan Siber Recorded Future dalam sebuah laporan.

Sementara itu, InTouchPOS ditargetkan oleh kampanye Magecart yang terpisah dan tidak terkait, yang mengakibatkan infeksi e-skimmer di 157 restoran yang menggunakan platform tersebut.

Pelaku Magecart memiliki riwayat menginfeksi situs web e-niaga dengan skimmer JavaScript untuk mencuri data kartu pembayaran pembeli online, informasi penagihan, dan informasi pengenal pribadi (PII) lainnya. 

Rangkaian kegiatan pertama diyakini telah dimulai sekitar 18 Januari 2022, dan berlanjut hingga domain jahat yang digunakan dalam kampanye diblokir pada 26 Mei. Kampanye InTouchPOS, di sisi lain, tetap aktif sejak 12 November 2021.

Perlu dicatat bahwa domain eksfiltrasi data yang digunakan dalam infeksi MenuDrive dan Harbortouch juga telah diidentifikasi oleh Biro Investigasi Federal (FBI) AS dalam peringatan kilat Mei 2022. 

Serangan tersebut memerlukan penyisipan kode PHP berbahaya ke halaman checkout online bisnis dengan memanfaatkan kelemahan keamanan yang diketahui dalam layanan untuk mengikis dan mengirimkan data pelanggan ke server di bawah kendali penyerang.

Idenya adalah bahwa dengan menargetkan platform pemesanan online, itu dapat mengarah pada skenario di mana bahkan satu platform diserang, lusinan atau bahkan ratusan restoran dapat membahayakan transaksi mereka, yang memungkinkan "penjahat dunia maya mencuri sejumlah besar data kartu pembayaran pelanggan. Tidak proporsional dengan jumlah sistem yang benar-benar mereka retas." 

Perkembangannya signifikan karena beberapa alasan. Pertama, intrusi adalah penyimpangan dari penargetan tradisional aktor ancaman terhadap platform e-commerce Magento, sebuah fakta yang dicontohkan oleh peningkatan serangan skimmer yang ditujukan pada plugin WordPress bernama WooCommerce.

Selain itu, ini berfungsi untuk menyoroti bagaimana kampanye Magecart sekarang memilih restoran lokal kecil yang mengandalkan perangkat lunak pihak ketiga dari layanan pemesanan online yang kurang dikenal sebagai pengganti merancang halaman web checkout mereka sendiri, secara efektif memperluas kumpulan vektor serangan.

Peneliti mengatakan platform pemesanan terpusat yang melayani banyak pedagang menawarkan peluang unik bagi pelaku ancaman Magecart untuk mengumpulkan PII pelanggan dan data kartu pembayaran.

Peningkatan minat penjahat dunia maya dalam menargetkan platform pemesanan online mewakili dimensi risiko baru untuk restoran.