研究人員發現，Magecart的攻擊活動一直在利用三個在線餐廳訂餐系統盜取那些毫無戒心的顧客的支付卡憑證，并且攻擊影響了大約300家使用這些服務的餐廳，迄今已泄露了數萬張卡的信息。

多次進行攻擊的Magecart團伙將e-skimmer腳本注入到了使用這三個獨立平臺的在線訂購門戶。來自Recorded Future的研究人員在本周的一篇博文中透露，針對MenuDrive、Harbortouch和InTouchPOS進行的攻擊，一個似乎在去年11月開始的，另一個是在1月。

攻擊的具體內容

Recorded Future's Insikt Group的研究人員在報告中寫道，這三個平臺上，至少有311家餐廳被Magecart感染，隨著更深入的分析，這個數字可能會繼續增加。

Magecart是一個網絡犯罪集團的總稱，他們會使用盜卡技術從銷售點（POS）或電子商務系統使用的支付卡中竊取憑證。并且他們通常最終會在暗網的黑客論壇上出售這些被盜的憑證。

研究人員指出，在Recorded Future觀察到的兩個攻擊活動中，那些受影響的餐館網站往往會導致客戶的支付卡數據和PII（他們的賬單信息和聯系信息）發生泄露。

他們說，到目前為止，研究人員已經從暗網上發布的活動中發現了5萬多條被破壞的支付記錄，他們預計未來會有更多被盜數據被發布出來。

研究人員發現，MenuDrive和Harbortouch是同一個Magecart攻擊者的攻擊目標，這一攻擊活動導致80家使用MenuDrive的餐館和74家使用Harbortouch的餐館感染了e-skimmer病毒。

他們在帖子中指出，這個攻擊活動可能是不晚于2022年1月18日開始的，截至本報告發布，仍然有一部分餐館受到了感染。然而，研究人員確定該攻擊活動的惡意域名為authorizen[.]net，5月26日以來就已經被封鎖。

研究人員說，一個單獨的、不相關的Magecart攻擊活動甚至在更早就針對InTouchPOS進行了攻擊，此活動最遲在2021年11月12日開始。在那次攻擊活動中，有157家使用該平臺的餐館被感染e-skimmers，而且與該攻擊活動有關的惡意域名bouncepilot[.]net和pinimg[.org仍然十分活躍。

此外，據Recorded Future稱，針對InTouchPOS的攻擊活動使用的策略和破壞指標與自2020年5月以來，針對400個從事不同類型交易的電子商務網站的其他網絡犯罪活動非常相似。研究人員說，截至6月21日，相關攻擊活動中的30多個受影響的網站仍然在受到不同程度的影響。

誘人的數據

研究人員指出，雖然像Uber Eats和DoorDash這樣的集中式餐廳訂餐平臺在這類系統的市場中占主導地位，而且比受這些活動影響的平臺要知名得多，但互聯網上數百個為當地餐廳服務的小型平臺仍然是網絡犯罪分子的重要攻擊目標。

他們說，即使是小規模的平臺也可能有數以百計的餐館作為客戶，這意味著針對一個較小的平臺攻擊就可以泄露出數十種在線交易和支付卡的信息。事實上，這些平臺對攻擊者來說是非常有吸引力的，研究人員指出，他們更傾向于用最少的工作量尋求最高的回報。

一位安全專家指出，一般來說，電子商務網站在安全方面一直面臨著很大的挑戰，而且往往會包含來自第三方或供應鏈合作伙伴的代碼，這些代碼很容易被攻擊者破壞，并可能對下游產生更大的影響。

網絡安全公司PerimeterX的首席營銷官在給媒體的一封電子郵件中寫道，這是用來解釋網絡攻擊生命周期的一個很好的例子，由于網絡攻擊的周期性和連續性，導致網站的數據被大量泄露，這也就是Magecart攻擊的結果，這也為另一個網站的刷卡、憑證填充或賬戶接管攻擊提供了資源。

本文翻譯自：https://threatpost.com/magecart-restaurant-ordering-systems/180254/