Theo báo cáo của công ty tình báo Gemini Advisory, trong suốt 3 năm qua, một trong những nhóm hoạt động dưới cái tên Magecart đã nhắm mục tiêu vào hơn 570 trang web thương mại điện tử và chiếm được hơn 7 triệu USD.
Nhóm tin tặc có tên là Keeper đã thực hiện 64 cuộc tấn công, sử dụng 73 tên miền giả để đánh cắp dữ liệu và tấn công các mục tiêu trên 55 quốc gia kể từ ngày 1/4/2017. Tất cả các tên miền đều sử dụng chung máy chủ chuyên dụng và các đăng nhập xác thực.
Nhóm tin tặc chủ yếu nhắm vào các trang sử dụng Magento CMS (85% nạn nhân), với các trang web thương mại điện tử bị xâm nhập nhiều nhất là ở Hoa Kỳ. Vương quốc Anh và Hà Lan nằm trong top 3 (chiếm 28%)
Keeper đã tiến hành cập nhật các công nghệ của mình để tăng cơ hội thành công, ví dụ như cố tình tạo mã bị xáo trộn (obfuscation) và cập nhật mã trong các tập lệnh độc hại của chúng nhưng liên tục lợi dụng tên miền fileskeeper[.]org để cấy skimmer web (một loại thiết bị siêu nhỏ cho phép tin tặc chụp hình và thu lại những thao tác khi người dùng thẻ thực hiện mà không cần yêu cầu tin tặc phải hiểu biết quá nhiều về thủ thuật công nghệ cao hay máy tính) và nhận về các dữ liệu đánh cắp được.
Nhóm này dùng những tên miền giả mạo có chứa mã độc giống như các dịch vụ hợp pháp và thậm chí cố gắng làm các trang web giống những trang hợp pháp sử dụng tên miền cấp cao khác nhau hoặc chỉ thay đổi một chút tên miền. Chúng cũng cố gắng giả mạo các cổng thanh toán và cài cắm, bổ sung các trình (plugin) vào trang web.
Gimini Advisory đã cố truy nhập vào một bảng điều khiển của Keeper, nơi có chi tiết về 184.000 thẻ bị xâm phạm từ tháng 7/2018 đến tháng 4/2019 đã được lưu trữ. Dựa trên thời gian hoạt động, các nhà nghiên cứu bảo mật ước tính rằng khoảng 700.000 thẻ đã bị xâm phạm.
Gemini Advisory cho biết: “Mức giá trung bình cho mỗi thẻ được giao bán trên web đen là 10 USD, thẻ CNP (Card Not Present – Loại chấp nhận thanh toán thẻ mà trong giao dịch không có sự xuất hiện của chủ thẻ và thẻ) thì không bị xâm hại. Nhóm này đã thu được 7 triệu USD từ việc đánh cắp và bán những thẻ mà chúng xâm phạm được“.
Mục tiêu của Keeper nhắm vào các thương gia vừa và nhỏ ở nhiều quốc gia và một số trang web phổ biến, các trang bán đồ trang sức, đồ điện tử, quần áo, rượu và các sản phẩm quảng cáo tùy chỉnh có hơn 500.000 lượt truy nhập/ tháng.
Gemini Advisory lưu ý rằng: “Nhóm Keeper Magecart đã hoạt động được 3 năm. Trong suốt thời gian đó chúng đã liên tục nâng cấp sự tinh vi về kỹ thuật và quy mô hoạt động. Dựa trên mô hình tấn công đã thành công của Magecart, Gemini Advisory khẳng định rằng Keeper sẽ tiếp tục khởi chạy các cuộc tấn công ngày càng tinh vi để chống lại các thương nhân trực tuyến trên toàn thế giới“.