Du tror måske, at du er sikker efter du har fjernet det malware fra din inficerede online Magento butik. Men, det viser sig, at den berygtede Magecart malware, kendt for høst kreditkortoplysninger fra betalingsformularer, re-inficerer selv efter oprydning.
Forskeren bag disse fund er Willem de Groot, der for nylig afdækket den mest succesfulde skimming kampagne, drevet af MagentoCore skimmer. Tilbage i september, skimmer havde allerede inficeret 7,339 Magento butikker for en periode på 6 måneder, og dermed bliver den mest aggressive kampagne opdaget af forskere.
Den samme forsker er udvikleren af MageReport, en online malware og sårbarhed scanner til online butikker. Ifølge Det Forenede, i sidste kvartal, 1 ud af 5 overtrådt butikker blev smittet (og rengøres) flere gange, nogle endda op til 18 gange.
Relaterede: MagentoCore: de mest aggressive Skimmer inficerer 60 Butikker per dag
I det mindste 40,000 Magecart-Ligesom Infektioner opdaget i 3 år
Forskeren har sporet infektioner ligner Magecart på mindst 40,000 domæner for de seneste tre år. Hans seneste resultater viser, at i løbet af august, September og oktober, den MageReport scanneren kom på tværs Magecart forplove på mere end 5,400 domæner. Nogle af disse infektioner viste sig at være ganske vedholdende, bruge op til 12.7 dage på inficerede domæner.
I de fleste tilfælde, dog, website admins held fjernet den skadelige kode. Stadig, antallet af re-inficerede sites er stadig ganske stor - 21.3 procent, med et stort antal af reinfektion finder sted inden for den første dag eller inden for en uge. Den gennemsnitlige periode for et reinfektion blev anslået til 10.5 dage.
Hvad er årsagen til reinfektioner? Som forklaret i den Store, Der er flere årsager tegner sig for de gentagne malware sager:
- Operatørerne af Magecart ofte droppe bagdør på hackede butikker og skabe slyngelstater admin konti.
- De malware operatører bruger effektive geninfektionsraterne mekanismer som database-triggere og skjulte periodiske opgaver.
- Operatørerne bruger også formørkelse teknikker til at skjule deres kode.
- Operatørerne bruger ofte zero-day exploits at hacke udsatte steder.
Relaterede: Magecart Hackere Stjal Kunder Betaling kortdata fra Newegg
Magecart Malware-historie og oversigt over angreb
Mens Magecarts oprindelse går tilbage til omkring 2010, det første storstilede angreb fandt efter sigende sted i 2015, som dokumenteret af Sansec. Dette cybersikkerhedsfirma afslørede en overraskende afsløring - cyberkriminelle var infiltreret 3,500 onlinebutikker ved at injicere ondsindet kode i sidehovederne eller sidefødderne på shoppingwebsteder. Det indsprøjtede JavaScript identificerede dygtigt kreditkortnumre, der blev indtastet i betalingsformularer og brugte AJAX til at duplikere og overføre formulardataene til et sted, der kontrolleres af hackerne.
Forbløffende nok, dette kompromis forblev aktivt i seks måneder før det blev opdaget, potentielt afsløre hundredtusindvis af høstede kreditkort. Efterfølgende, Magecart-angribere har løbende forfinet deres metoder, herunder lancering af udnyttelser rettet mod tredjeparts webstedsværktøjer. I 2019, de kompromitterede værktøjer som Picreel premium konverteringsoptimeringsplugin, indlejring af deres kode for at indsamle betalingsoplysninger på tværs af tusindvis af websteder. Især, selv Google Tag Manager er blevet udnyttet på lignende måder.
I september 2018, Magecart-operatørerne lavede endnu et stort hit, infiltrere de sikre servere i den populære Newegg webstedet. Alle indtastede data i perioden fra august 14 og september 18 var påvirket. Både desktop- og mobilkunder blev kompromitteret af bruddet. Statistik viste, at webstedet har mere end 50 million besøgende. Det faktum, at den digitale skimmer koden var tilgængelig for en længere periode giver sikkerhedseksperter grunde til at tro, at millioner af kunder potentielt blev berørt.
I februar 2017, samme forsker analyseret et stykke af en anden udviklet Magento malware, som var i stand til selv-healing. Denne proces var muligt takket være skjult kode i målrettede website database.
Findes der stadig Magecart Malware i 2023
Kort sagt, Ja.
En nyligt identificeret Magecart web skimming kampagne, kendetegnet ved sin sofistikerede og skjulte natur, har specifikt målrettet Magento- og WooCommerce-websteder. Især, ofre for denne kampagne omfatter enheder, der er tilknyttet betydelige organisationer i fødevare- og detailsektoren.
Baseret på de afslørede beviser, det ser ud til, at denne kampagne har været operationel i flere uger, og i visse tilfælde, endnu længere. Det, der adskiller denne kampagne, er brugen af en meget avanceret tilsløringsteknik, overraskende cybersikkerhedseksperter på grund af dets hidtil usete sofistikerede niveau.
Kampagnen understreger den evige udvikling af web skimming teknikker. Disse metoder udvikler sig gradvist i sofistikering, udgør øgede udfordringer for detektion og afbødning gennem statisk analyse og ekstern scanning, siger forskerne. Trusselsaktører, der opererer på dette felt, innoverer løbende, anvender mere effektive metoder til at skjule deres angreb på ofrets websteder og undgå forskellige sikkerhedsforanstaltninger designet til at afsløre dem.