Cyberthreat.id - Pada 2016 muncul sebuah kelompok ancaman baru yang dijuluki Magecart dan menargetkan entitas di seluruh dunia. Magecart sekaligus menggunakan nama kelompoknya sebagai jenis malware baru.

Pertama kali malware Magecart terdeteksi pada Maret 2016 dan sejak saat itu mereka terus berkembang. Baru-baru ini, terdapat peningkatan aktivitas malware Magecart yang menargetkan beberapa platform e-commerce untuk mencuri informasi pribadi dan data keuangan.

Modus Operandi

Dilansir Cyware Hacker News, Magecart berfokus platform belanja yang bekerja dalam dua langkah sederhana untuk menyebarkan permukaan serangannya. Pertama, memeriksa skrip pengguna, apakah ada di halaman check-out untuk memuat komponen keylogger yang secara otomatis mencatat penekanan tombol yang dimasukkan dalam kotak informasi di halaman pembayaran.

Kedua, malware ini menyuntikkan skrip keylogger untuk mengambil data keuangan. Data diarahkan ke server jarak jauh yang dikendalikan penyerang.

Baru-baru ini, Magecart memperluas kompatibilitasnya di CMS dan platform e-commerce seperti Power front, OpenCart, dan Magento. Para peneliti menemukan bukti yang menghubungkan malware dengan kelompok ancaman Magecart. Grup ini juga dikenal dengan serangan Formjacking yang melibatkan penyisipan kode JavaScript berbahaya ke situs-situs e-commerce untuk memanen rincian kartu kredit pelanggan.

Serangan Magecart yang menghebohkan:

1. Awalnya malware ini beraksi Mei 2016 dan ditemukan telah menginfeksi lebih dari 100 toko online. Magecart menargetkan Magento yang menggunakan ekstensi Braintree Magento untuk mencuri data log yang dimasukkan pada halaman checkout.  Kemudian, data dikirim ke server penyerang yang tentu saja jarak jauh.

2. Magecart sempat senyap selama setahun hingga akhirnya tahun 2018 membuat heboh kala website ticketing Ticketmaster mengakui telah terjadi kebocoran data sensitif sekitar 40 ribu pelanggan di Inggris dan di dunia internasional. Ticketmaster kala itu mengumumkan pelanggaran serius yang dilakukan dengan menggunakan malware Magecart. 

Data yang dikompromikan dalam serangan itu termasuk nama, email, alamat rumah, nomor telepon, info masuk Ticketmaster dan rincian kartu pembayaran pelanggan.

3. Magecart bertanggung jawab atas kebocoran data website British Airways yang mengakibatkan kelompok hacker bisa mengakses data pribadi dan data keuangan 565.000 pelanggan.  Sementara 380.000 pelanggan dilaporkan memiliki rincian keuangan yang dikompromikan, 185.000 pelanggan lain diduga telah melakukan pemesanan hadiah/barang antara tanggal 21 April dan 28 Juli. Tetapi banyak dari barang itu kemudian dicuri.

4. Dua toko ritel online Feedify dan Newegg juga menjadi korban malware Magecart yang menggunakan skrip berbahaya untuk mencuri rincian kartu kredit dan informasi lain dari kedua situs e-commerce tersebut.

Varian Baru 

CartThief-3PC adalah varian baru dari malware Magecart yang dirancang untuk menargetkan halaman pembayaran di situs ritel resmi yang dikelola oleh Magento. Varian malware ini menggunakan metode baru untuk menyandikan atau mengaburkan domain jahat dan aktivitas pengumpulan data Informasi Pribadi (PII).

Metode ini membantu Magecart untuk menghindari kecurigaan dan memotong banyak teknologi pemblokiran. Dengan cara ini, malware berhasil mencuri PII tanpa sepengetahuan pengguna, pemilik website, dan pemindai malware.

Luasnya infeksi malware Magecart dan variannya menimbulkan ancaman bagi semua organisasi ritel. Itu sebabnya sangat penting bagi organisasi/perusahaan guna mengikuti beberapa praktik terbaik untuk deteksi dini serta pencegahan dari malware.

Berikut adalah beberapa tips yang dapat dilakukan pengguna untuk tetap aman:

1. Pantau setiap perubahan mencurigakan pada file JavaScript yang dimuat ke browser pembayaran untuk mengumpulkan informasi pembayaran.

2. Terus lakukan validasi keamanan jaringan dan sistem Anda menggunakan manajemen solusi dan kerentanan.

3. Menerapkan otentikasi multi-faktor (MFA) untuk semua akun online termasuk yang terkait dengan belanja.