Serangan Magecart Makin Canggih, Identitas Pengguna Jadi Target

Ancaman siber kembali menunjukkan eskalasi serius. Sebuah operasi web skimming berskala besar yang dikaitkan dengan kelompok Magecart terungkap telah menyebar luas di internet dan menargetkan platform e-commerce di berbagai negara. Kampanye ini dinilai sangat berbahaya karena menggunakan lebih dari 50 skrip berbahaya untuk membajak proses checkout dan pembuatan akun pengguna secara diam-diam.

Para peneliti keamanan menemukan bahwa kampanye global ini dirancang untuk mencegat data sensitif pengguna saat mereka melakukan pembayaran atau mendaftarkan akun baru. Informasi yang dicuri tidak hanya terbatas pada detail kartu kredit, tetapi juga mencakup identitas pelanggan secara menyeluruh. Hal ini menandai perubahan besar dalam pola serangan Magecart yang sebelumnya lebih fokus pada pencurian data kartu pembayaran.

Serangan ini menunjukkan tingkat kecanggihan yang jauh lebih tinggi dibandingkan kampanye web skimming sebelumnya. Para pelaku menggunakan payload modular yang dapat disesuaikan dengan masing-masing penyedia layanan pembayaran. Dengan pendekatan ini, mereka mampu membuat varian skrip yang secara khusus menargetkan payment gateway populer seperti Stripe, Mollie, PagSeguro, OnePay, PayPal, serta berbagai layanan pembayaran besar lainnya.

Pendekatan yang sangat terpersonalisasi tersebut membuat skrip berbahaya terlihat menyatu dengan antarmuka pembayaran yang sah. Akibatnya, baik tim keamanan maupun pengguna akhir kesulitan membedakan mana proses pembayaran asli dan mana yang telah disusupi malware. Banyak korban tidak menyadari bahwa data mereka sedang direkam dan dikirim ke server penyerang.

Analis dari Source Defense Research mengungkap bahwa kampanye ini didukung oleh infrastruktur malware yang kompleks. Para penyerang membangun jaringan domain yang dirancang menyerupai layanan populer dan tepercaya. Beberapa domain seperti googlemanageranalytic.com, gtm-analyticsdn.com, dan jquery-stupify.com dibuat dengan nama yang mirip pustaka JavaScript dan layanan analitik yang umum digunakan situs web.

Strategi penyamaran ini memungkinkan skrip berbahaya dimuat oleh browser tanpa memicu kecurigaan. Dari sisi teknis, serangan ini juga memanfaatkan berbagai vektor infeksi. Skrip jahat dapat menyuntikkan formulir pembayaran palsu langsung ke dalam halaman situs, menciptakan tampilan phishing yang sangat meyakinkan untuk menjebak pengguna.

Selain itu, kampanye ini mengandalkan teknik silent skimming, di mana setiap data yang diketik pengguna direkam secara diam-diam tanpa mengganggu tampilan halaman. Lebih lanjut, para penyerang menerapkan teknik anti-forensik, seperti penggunaan input formulir tersembunyi dan pembuatan data kartu palsu yang tetap lolos validasi Luhn. Teknik ini membuat proses investigasi dan analisis insiden menjadi jauh lebih sulit.

Yang paling mengkhawatirkan, cakupan serangan ini meluas ke pencurian kredensial login, data pribadi yang dapat diidentifikasi (personally identifiable information), serta alamat email. Dengan data tersebut, pelaku dapat melakukan pengambilalihan akun (account takeover) dan bahkan menciptakan akun administrator palsu untuk mempertahankan akses jangka panjang ke situs yang terinfeksi.

Para ahli menilai bahwa kampanye ini menandai evolusi web skimming dari serangan sesaat menjadi mekanisme persistensi jangka panjang. Dengan menguasai kredensial dan hak akses admin, penyerang dapat mengendalikan situs dalam waktu lama dan terus memanen data dari berbagai alur transaksi.

Untuk menghadapi ancaman ini, organisasi e-commerce disarankan memperkuat keamanan sisi klien, menerapkan Content Security Policy (CSP) secara ketat, serta mengaktifkan pemantauan formulir pembayaran secara real-time. Langkah-langkah tersebut dinilai krusial untuk mendeteksi dan memblokir penyisipan skrip berbahaya sebelum merugikan pelanggan dan reputasi bisnis.