Field notes from the SOC - 2- Magecarting still haunts online stores to this day

Het afgelopen jaar heeft het AXS Guard Security Operations Center (SOC) een aanzienlijk aantal Magecart-incidenten afgehandeld. De aanvallen waren vooral gericht op webwinkels in de Benelux.

In dit artikel verdiepen we ons in twee concrete Magecart-gevallen. Ze onthullen hoe kwaadaardige code op diverse manieren kan worden verborgen en hergebruikt, wat tevens de complexiteit van dit soort aanvallen illustreert.

Wat zijn Magecart-aanvallen?

Magecart-aanvallen zijn cyberaanvallen die zich voornamelijk richten op webwinkels met als doel gevoelige gegevens te exfiltreren. Deze aanvallen, ook formjacking of webskimming genoemd, zijn gericht op het stelen van gevoelige informatie die gebruikers via online formulieren invoeren, in het bijzonder creditcardgegevens. Ze zijn vernoemd naar de beruchte hackersgroep Magecart, die zich rond 2015 op grote spelers begon te richten [1].

De aanval verloopt meestal in twee fasen

  1. In de eerste fase misbruikt de aanvaller een kwetsbare website, vaak een e-commerce platform, om er schadelijke JavaScript-code te injecteren.
  2. In de tweede fase speurt deze code de pagina af naar gevoelige gegevens, zoals creditcardgegevens. Eenmaal verzameld, worden de gestolen gegevens geëxfiltreerd naar een server die onder controle staat van de aanvaller, waarna ze doorgaans op het dark web worden doorverkocht [3].

Het detecteren van Magecart-aanvallen is buitengewoon complex, voornamelijk omdat het client-side aanvallen betreft. De kwaadaardige code zit vaak slim verborgen binnen de legitieme code van een website, wat de detectie ervan aanzienlijk bemoeilijkt. Bovendien is het aanvallende script in sommige gevallen niet eens direct zichtbaar bij het laden van de geïnfecteerde pagina; het wordt dynamisch opgehaald via een extern domein. Hierdoor kunnen deze aanvallen langdurig onopgemerkt blijven en aanzienlijke schade aanrichten.

Infectievectoren: Hoe websites besmet raken

Om een kwetsbare site met kwaadaardige code te infecteren, is een eerste inbraak op de webwinkel noodzakelijk.

In deze sectie bespreken we de meest gebruikte infectievectoren.

» Verder lezen*
*Rest van het artikel in EN

Field notes from the SOC - 2- Magecarting still haunts online stores to this day
Able bv, Thibault Van Win 18 juli 2025

ZTNA - Never Trust, Always Verify