Cyberthreat.id – Awal pekan ini, perusahaan cybersecurity Trend Micro, mengumumkan telah menemukan serangan baru yang dilakukan kelompok cracker Magecart terhadap situs web pemesanan hotel.

Magecart terkenal sebagai penjahat siber yang menggarong informasi kartu kredit melalui card skimming. Data hasil curian tersebut biasa diperdagangkan di darkweb atau dipakai dalam kejahatan online.

Serangan terhadap dua situs web–yang tak disebutkan namanya oleh peneliti–terjadi pada awal September. Serangan tersebut memiliki mata rantai serangan terpisah. Mereka memakai teknik skimmer kartu berbasis JavaScript.

Jika skrip diakses dari jarak jauh melalui peramban (browser) standar pada komputer atau laptop, JavaScript yang dimuat tidak berbahaya.

Sementara jika diakses dari browser perangkat seluler seperti ponsel Android atau iOS, "Tautan yang sama dapat mengunduh skrip yang berbeda," kata peneliti Trend Micro. Akan tetapi, “ Itulah skimmer kartu kredit,” kata peneliti seperti dikutip dari ZDNet, Jumat (20 September 2019).

Kode jahat yang disuntikkan – akan muncul di halaman pembayaran situs web hotel – diduga aktif sejak 9 Agustus lalu. Rincian kartu pembayaran yang telah di-input oleh korban yang tidak disengaja adalah sasaran penjahat. Detail informasi tersebut dipanen dan dikirim ke server jarak jauh yang dikendalikan oleh penyerang.

Trend Micro mengatakan situs web yang terkena dampak tidak meng-host kode sendiri, tapi ditemukan dalam skrip yang disediakan oleh pengembang domain, Roomleader.

Secara khusus, pustaka JavaScript (JavaScript library), oleh klien situs web Roomleader, menggunakan modul yang disebut "viewedHotels." Modul ini untuk menyimpan informasi hotel yang telah dilihat ke cookies peramban pengunjung, tetapi malah menyebarkan malware.

Trend Micro mengatakan, meski jumlah situs web yang terpengaruh kecil, dampaknya cukup signifikan sebab satu situs web melayani 107 hotel, sedangkan yang satunya 73 hotel. Kedua perusahaan berlokasi di 28 negara.

Skimmer itu sendiri bersifat generik dan menyalin data termasuk nama, alamat email, nomor telepon, dan detail kartu pembayaran.

Namun, elemen yang menarik adalah fakta bahwa serangan terkait Magecart ini menghapus setiap input informasi kartu kredit ke halaman pemesanan dan menggantinya dengan versi lain yang dibuat.

Menurut peneliti, ada dua alasan yang mungkin untuk hal tersebut: pertama, beberapa hotel tidak akan meminta kode keamanan card verification value (CVV)/card verification card (CVC) sampai permintaan itu datang. Tapi, dengan mengganti formulir, aktor ancaman juga dapat mencoba untuk mengamankan data kunci ini.

Kedua, mungkin karena pemesanan halaman yang menampung informasi pembayaran di domain yang berbeda menggunakan iframe HTML dalam upaya untuk membantu keamanan.

iFrame kependekan dari inline frame. Dalam desain web, tool ini elemen penting yang berfungsi menyertakan atau memasukkan semua jenis media yang bisa dipasangkan ke situs web. Contoh, tautan embed YouTube di tengah-tengah artikel di media online. Namun, tautan embed ini juga bisa menjadi ancaman karena bisa dinjeksi kode berbahaya.

"Dalam [kemungkinan dua, red] skenario tersebut, skimmer JavaScript biasa tidak akan dapat menyalin data di dalam iframe aman," kata Trend Micro.

"Karena itu, penyerang menghapus iframe dari bentuk kartu kredit yang diamankan dan menyuntikkan formulirnya sendiri sehingga skimmer dapat menyalin informasi."

Kode yang disuntikkan akan memeriksa untuk melihat bahasa mana yang digunakan – seperti bahasa Inggris, Spanyol, atau Prancis – dan akan menambahkan formulir kartu kredit berbahaya yang sesuai.

Tidak diketahui berapa banyak individu yang terkena dampak. Trend Micro mengatakan sulit untuk menentukan apakah kelompok ancaman ini telah terlibat dalam kampanye Magecart sebelumnya karena kurangnya bukti yang diberikan oleh infrastruktur jaringan atau kode.

Di masa lalu, kelompok-kelompok Magecart telah terhubung dengan serangan skimmer skimmer yang terjadi terhadap perusahaan termasuk Ticketmaster, Newegg, dan British Airways.

Para peneliti dari RiskIQ baru-baru ini mendokumentasikan tren baru yang terkait dengan Magecart – pembelian domain lama yang “kotor” untuk skema malvertising baru.