Der Sicherheitsforscher Willem de Groot vor kurzem ausgegraben die erfolgreichste (bisher) Skimming-Kampagne, in der Mitte davon ist die Skimmer MagentoCore. Der Skimmer bereits infiziert 7,339 Magento Shops in den letzten 6 Monate, somit werden die meisten aggressive Kampagne von Forschern entdeckt.
Die Betreiber von MagentoCore verwalten Tausende von E-Commerce-Websites auf Magento laufen zu kompromittieren, Einspritzen des Schabers in Karten ihren Quellcode.
MagentoCore Skimmer: Wer richtet?
Offenbar, Opfer dieser Skimming-Malware sind nur einige von mehreren Millionen, börsennotiertes Unternehmen. Dies könnte darauf hindeuten, dass die Kampagne finanziell sehr erfolgreich ist, aber in der Tat ist es die Kunden dieser Unternehmen, die ihre Karten und Identitäten gestohlen haben.
"Die durchschnittliche Wiederherstellungszeit ist ein paar Wochen, aber wenigstens 1450 Geschäfte haben die MagentoCore.net Parasiten während der gesamten Vergangenheit gehostet 6 Monate. Die Gruppe hat noch nicht fertig: neue Marken werden in einem Tempo, entführt von 50 zu 60 speichert pro Tag in den letzten zwei Wochen", die Forscher sagte.
MagentoCore Skimmer: Wie funktioniert es?
Erste, das Skimming-Malware gewinnt Zugriff auf das Bedienfeld der gezielten e-Commerce-Website, in den meisten Fällen über Brute-Force-Angriffe. Sobald das Passwort gebrochen und die Bedrohung Schauspieler sind in, ein eingebettetes Stück JavaScript ist mit dem HTML-Template hinzugefügt.
das Skript (Sicherungskopie) Tastenanschläge von ahnungslosen Kunden-Aufzeichnung und alles in Echtzeit an den Server zu senden MagentoCore, die in Moskau registriert, die Forscher fanden heraus,.
Der MagentoCore Skimmer enthält auch einen Wiederherstellungsmechanismus, und es ist auch eine Hintertür in dem cron.php entworfen. Dies geschieht so, dass die Malware regelmäßig bösartigen Code herunterlädt, die sich selbst gelöscht nach dem Laufen, ohne Spuren hinterlassen.
Weitere technische Details:
– Die Datei clean.json (Sicherungskopie) PHP-Code ist in der Tat, das gesetzt wird, eine konkurrierende Malware von der Zielstelle zu entfernen, Suche nach ATMZOW, 19303817.js und PZ7SKD.
– Die Datei clear.json (Sicherungskopie) wird das Passwort von mehreren gemeinsamen Personal-Benutzernamen zu ändern, um how1are2you3.
Wie sich gegen die MagentoCore Skimmer?
Groot hat einige ziemlich gute Ratschläge für Administratoren, die von der aggressiven Skimming-Kampagne betroffen sind:
1. Finden Sie den Einstiegspunkt: wie könnten Angreifer unberechtigten Zugriff auf den ersten Platz? Analysieren Backend-Zugriffsprotokolle, korreliert mit den Mitarbeitern IP und typischen Arbeitszeit. Wenn verdächtige Aktivitäten von Personal IPs aufgezeichnet, es könnte sein, dass ein Personal Computer mit Malware infiziert ist, oder dass der Angreifer eine autorisierte Sitzung fallen.
2. Finden Backdoors und nicht autorisierte Änderungen an dem Code-Basis. Normalerweise gibt es ein paar, sowohl im Frontend / Backend-Code und die Datenbank. My Open Source Magento Malware Scanner kann nützlich sein, hier.
3. Sobald Sie alle Mittel der unberechtigten Zugriff haben festgestellt,, schließen sie alle auf einmal.
4. Entfernen Sie den Skimmer, Backdoors und anderer Code. Revert zu einer zertifizierten sicheren Kopie der Code-Basis, wenn möglich. Malware wird häufig in Standard-HTML-Kopf- / Fußzeilen versteckt, sondern auch in minimiert, statische Javascript-Dateien, in tief in der Codebasis versteckt. Sie sollten alle HTML / JS Assets überprüfen, die während des Bestellvorgangs geladen werden.
5. Implementieren Sie sichere Verfahren dass Abdeckung rechtzeitig Patching, starke Mitarbeiter Passwörter etcetera. Ein guter Ausgangspunkt.
Im Februar letzten Jahres, Willem de Groot Analysiert ein Stück eine andere entwickelte Magento Malware die fähig war, die Selbstheilung. Dieser Prozess war möglich dank versteckten Code in der Datenbank der gezielten Website.
Dieser Malware-Stamm war nicht die erste in einer Website Datenbank versteckt Code zu platzieren, sondern war in der Tat der erste in SQL als Stored Procedure geschrieben. Diese Malware wurde typischerweise in der Lage Ernte Benutzer-Informationen, sondern war auch in der Lage sich für unbestimmte Zeit zu bewahren.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: