Sikkerhed forsker Willem de Groot nylig udgravet den mest succesfulde (indtil nu) skimming kampagne, ved midten af dem er MagentoCore skimmer. Den skummer har allerede inficeret 7,339 Magento butikker i den sidste 6 måneder, og dermed bliver den mest aggressive kampagne opdaget af forskere.
Operatørerne af MagentoCore formået at gå på kompromis tusindvis af e-handel websteder, der kører på Magento, indsprøjtning af kortet skraber i deres kildekode.
MagentoCore Skimmer: Hvem er målrettet?
Tilsyneladende, ofre for denne skimming malware er nogle flere millioner, børsnoterede selskaber. Dette kan tyde på, at kampagnen er økonomisk ganske vellykket, men i virkeligheden er det kunderne i disse virksomheder, der har deres kort og identiteter stjålet.
"Den gennemsnitlige restitutionstid er et par uger, men i det mindste 1450 butikker har været vært for MagentoCore.net parasit under fuld fortid 6 måneder. Gruppen har ikke færdig endnu: nye mærker er kapret i et tempo på 50 til 60 butikker om dagen i løbet af de sidste to uger", forskeren sagde.
MagentoCore Skimmer: Hvordan virker det?
Første, skimming malware få adgang til kontrolpanelet for den målrettede e-handel website, i de fleste tilfælde via brute force angreb. Når adgangskoden er brudt og truslen skuespiller er i, en indlejret stykke JavaScript er føjet til HTML-skabelon.
Manuskriptet (backup) optager tastetryk fra intetanende kunder og sender alt i realtid til MagentoCore serveren, som er registreret i Moskva, forskeren fandt ud.
Den MagentoCore skimmer indeholder også en genvindingsmekanisme, og det er også designet til at tilføje en bagdør til cron.php. Dette gøres således, at malware jævnligt downloader ondsindet kode, som er selv-slettet efter at have kørt, uden spor efterladt.
Mere tekniske detaljer:
– Filen clean.json (backup) er i virkeligheden PHP kode som er sat til at fjerne enhver konkurrerende malware fra den målrettede website, søger efter ATMZOW, 19303817.js og PZ7SKD.
– Filen clear.json (backup) er indstillet til at ændre password af flere fælles personale brugernavne til how1are2you3.
Hvordan at imødegå den MagentoCore Skimmer?
Groot har nogle temmelig gode råd til admins, der er blevet ramt af den aggressive skimming kampagne:
1. Find den indgang: hvordan kunne hackere få uautoriseret adgang i første omgang? Analysere backend adgangslogfiler, korrelerer med personalets IP-og typiske arbejdstid. Hvis mistænkelig aktivitet registreres fra personalets IP'er, det kunne være, at en personale computer er inficeret med malware, eller at angriberen har kapret en autoriseret session.
2. Find bagdøre og uautoriserede ændringer i din kodebase. Normalt er der et par, både i frontend / backend kode og databasen. Min opensource Magento Malware Skanner kan være nyttigt her.
3. Når du har oprettet alle midler til uautoriseret adgang, lukke dem alle på én gang.
4. Fjern skimmer, bagdøre og anden kode. Vend tilbage til en certificeret sikker kopi af kodebase, hvis det er muligt. Malware er ofte skjult i standard HTML-header / sidefødder, men også i minimeret, statiske JavaScript-filer, skjult i dyb i kodebase. Du bør tjekke alle HTML / JS aktiver, der indlæses under købsprocessen.
5. Gennemføre sikre procedurer at dække rettidig patching, stærke adgangskoder personaleomkostninger etcetera. Et godt udgangspunkt.
I februar sidste år, Willem de Groot Analyseret et stykke en anden udviklet Magento malware som var i stand til selv-healing. Denne proces var muligt takket være skjult kode i målrettede website database.
Denne malware belastning var ikke den første til at placere skjult kode i en hjemmesides database, men var faktisk den første skrevet i SQL som en lagret procedure. Denne malware var typisk i stand til at høste bruger kortoplysninger, men var også i stand til at bevare sig selv for uspecificeret tidsrum.