Магазини на Magento са засегнати от най-голямата автоматизирана хакерска атака от 2015 г. насам
В най-голямата автоматизирана хакерска кампания срещу сайтове на Magento, този уикенд, нападателите компрометираха почти 2000 онлайн магазина, за да откраднат кредитни карти.
Adobe Magento е популярна платформа за електронна търговия, която позволява на уеб сайтовете бързо да създават онлайн магазин за продажба на своите продукти и да приемат кредитни карти.
Поради това Magento често е цел на хакери, които инсталират Java скриптове, които крадат данните от кредитните карти на клиентите.
Този тип атаки се наричат MageCart и са се превърнали в достатъчно голям проблем за Magento, и дори VISA издаде съвет, приканващ търговците да мигрират към сайтове за електронна търговия от по-сигурния Magento 2.x.
Най-големият автоматизиран хак
През уикенда фирмата за предотвратяване на скимминга на кредитни карти Sanguine Security (Sansec) откри 1904 магазина Magento, които бяха компрометирани през последните четири дни.
Атаката започна в петък, когато десет магазина бяха заразени със скрипт за скиминг на кредитни карти, който не е бил засичан преди това при други атаки.
Атаката се разрасна в събота с 1058 хакнати сайта, още 603 в неделя и още 233 в понеделник.
Според Вилем де Гроот, основателят на Sanguine Security, това е най-голямата автоматизирана атака на Magento, която са виждали, откакто са започнали да наблюдават магазините за електронна търговия през 2015 г.
„Тази автоматизирана кампания е най-голямата кампания, която Sansec е идентифицирала, откакто е започнала мониторинг през 2015 г. Предишният рекорд е 962 хакнати магазина за един ден през юли миналата година“, заяви Де Гроот в доклад, публикуван днес.
Атаката MageCart
По-голямата част от хакнатите магазини бяха Magento версия 1, която вече не получава актуализации на защитата от юни 2020 г., когато бе обявен краят на поддръжката.
Когато вече е компрометиран магазинът, нападателите инсталират PHP уеб черупка, наречена mysql.php, която им позволява да получат пълен достъп до компрометирания акаунт.
В понеделник Sansec приключи разследването на един от компрометираните магазини. Атакуващите използвали базиран в САЩ ip 92.242.62 [.] 210 за взаимодействие с администраторския панел на Magento и използвали функцията „Magento Connect“ за изтегляне и инсталиране на различни файлове, включително задна врата, наречена mysql.php. Този файл е автоматично изтрит, след като злонамерения код вече е добавен към prototype.js „, каза Де Гроот.
Използвайки този достъп, нападателите инсталират JavaScript, за да заредят злонамерен код за кражба на кредитна карта от mcdnn.net/122002/assets/js/widget.js, когато посетителят е на страницата за плащане.
Когато се подаде информация за плащане, данните за плащането на скрипта се събират и изпращат на URL адреса https://imags.pw/502.jsp , който е под контрола на атакуващия.
За компрометирани сайтове на Magento версия 1 зловредният скрипт е добавен към файла prototype.js. За сайтовете на Magento 2 той беше добавен към файл jquery.js, скрит в кода.
Уязвимост от нулев ден вероятно е улеснила атаките
Понастоящем не е известно как се провежда тази атака, но Sansec вярва, че сайтовете на Magento 1 могат да бъдат хакнати с помощта на 0-Day уязвимост, продавана на хакерски форуми.
На 15 август хакер на име z3r0day започна да продава експлойти от нулев ден и две наскоро закърпени уязвимости в Magento 1 за 5000 долара. Тази продажба бе предназначена само за общо до десет души.
Sansec продължава да разследва атаките, за да определи как са били хакнати сайтовете, но съветва всички потребители на Magento да надстроят до Magento 2 за по-добра защита.
За да помогне за смекчаване на атаки като тези, Sansec отскоро си партнира с Adobe, за да предостави сигнатури за уязвимост, които да бъдат включени в инструмента за сканиране на Magento Security.
По материали от интернет