Accueil > Nouvelles Cyber > MagentoCore: Infecte les Skimmer les plus agressifs 60 Magasins par jour
CYBER NOUVELLES

MagentoCore: Infecte les Skimmer les plus agressifs 60 Magasins par jour

Le chercheur en sécurité Willem de Groot récemment déterré le plus de succès (jusque là) campagne écrémage, au centre duquel se trouve le skimmer MagentoCore. Le skimmer a déjà infecté 7,339 magasins Magento dans la dernière 6 mois, devenant ainsi la campagne la plus agressive découverte par des chercheurs.




Les opérateurs de MagentoCore ont réussi à compromettre des milliers de sites e-commerce en cours d'exécution sur Magento, l'injection du grattoir carte dans leur code source.

MagentoCore Skimmer: Qui est visé?

Apparemment, victimes de ce malware d'écrémage sont quelques-uns de plusieurs millions, sociétés cotées en bourse. Cela peut suggérer que la campagne est financièrement tout à fait réussie, mais en fait, ce sont les clients de ces entreprises qui ont leurs cartes et identités volées.

"Le temps moyen de récupération est quelques semaines, mais au moins 1450 les magasins ont accueilli le parasite MagentoCore.net pendant toute dernière 6 mois. Le groupe n'a pas encore fini: de nouvelles marques sont détournés à un rythme de 50 à 60 magasins par jour au cours des deux dernières semaines", le chercheur.

MagentoCore Skimmer: Comment ça marche?

Première, le logiciel malveillant de l'écrémage est d'avoir accès au panneau de commande du site e-commerce ciblé, dans la plupart des cas par des attaques de force brute. Une fois le mot de passe est cassé et l'acteur de la menace est, un morceau intégré de JavaScript est ajouté au modèle HTML.

Le script (sauvegarder) enregistre les frappes des clients peu méfiants et envoie tout en temps réel au serveur MagentoCore, qui est enregistré à Moscou, le chercheur a découvert.

Le skimmer MagentoCore contient également un mécanisme de récupération, et il est également conçu pour ajouter une porte dérobée à cron.php. Ceci est fait pour que le malware télécharge périodiquement un code malveillant qui est auto-supprimé après l'exécution, sans traces.

Plus de détails techniques:

– Le fichier clean.json (sauvegarder) est en fait le code PHP qui est configuré pour supprimer tous les logiciels malveillants concurrents du site ciblé, la recherche de ATMZOW, 19303817.js et PZ7SKD.
– Le fichier clear.json (sauvegarder) est en train de changer le mot de passe de plusieurs noms d'utilisateur du personnel commun à how1are2you3.

Comment contrer les MagentoCore Skimmer?

Groot a une très bons conseils pour les administrateurs qui ont été touchés par la campagne agressive écrémage:

1. Trouver le point d'entrée: comment pourraient attaquants un accès non autorisé en premier lieu? Analyser les journaux d'accès backend, en corrélation avec le personnel de la propriété intellectuelle et les heures de travail typiques. Si une activité suspecte est enregistrée à partir du personnel IP, il pourrait être qu'un ordinateur personnel est infecté par des logiciels malveillants, ou que l'attaquant a détourné une session autorisée.
2. Trouver backdoors et des modifications non autorisées à votre base de code. En général, il y a quelques, tant en frontend / code d'arrière-plan et la base de données. Mon opensource Scanner Magento Malware peut être utile ici.
3. Une fois que vous avez mis en place tous les moyens d'accès non autorisé, les fermer à la fois.
4. Retirez le skimmer, backdoors et autres codes. Revert à une copie certifiée des codebase, si possible. Malware est souvent caché dans l'entête HTML par défaut / pieds de page, mais aussi dans minimisés, statiques fichiers Javascript, caché dans profondément dans le code de base. Vous devriez vérifier tous les actifs HTML / JS qui sont chargés au cours du processus de commande.
5. Mettre en œuvre des procédures de sécurité que la couverture application rapide des rustines, mots de passe forts du personnel etc.. Un bon point de départ.


En Février l'année dernière, Willem de Groot Analysé un morceau de un autre malware évolué Magento qui était capable d'auto-guérison. Ce processus a été possible grâce à un code caché dans la base de données du site Web ciblé.

Cette souche n'a pas été le malware premier à placer le code caché dans la base de données d'un site Web, mais était en effet le premier écrit en SQL comme une procédure stockée. Ce malware est généralement capable de récolter des informations de carte d'utilisateur, mais il était aussi capable de se conserver pendant une période indéterminée.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord