Vous pouvez penser que vous êtes en sécurité après avoir supprimé le logiciel malveillant de votre magasin en ligne Magento infecté. Cependant, il se trouve que le logiciel malveillant Magecart infâme, connu pour carte de crédit d'exploitation de formulaires de caisse, re-contamine même après nettoyage.
Le chercheur derrière ces résultats est Willem de Groot qui a récemment déterré la campagne la plus réussie écrémage, entraîné par le skimmer MagentoCore. Retour en Septembre, l'écumoire avait déjà infecté 7,339 magasins Magento pour une période de 6 mois, devenant ainsi la campagne la plus agressive découverte par des chercheurs.
Le même chercheur est le développeur de la MageReport, un scanner de logiciels malveillants et de la vulnérabilité en ligne pour les magasins en ligne. Selon les États-, au dernier trimestre, 1 de 5 les magasins ont été infectées eu manquement à (et nettoyé) plusieurs fois, certains ont même jusqu'à 18 fois.
en relation: MagentoCore: Infecte les Skimmer les plus agressifs 60 Magasins par jour
Au moins 40,000 Magecart-infections apparentées Découvert en 3 Années
Le chercheur a suivi les infections similaires à Magecart sur au moins 40,000 domaines pour les trois dernières années. Ses derniers résultats indiquent que, durant Août, Septembre et Octobre, le scanner est tombé sur MageReport récupérateurs Magecart sur plus de 5,400 domaines. Certaines de ces infections est avéré être assez persistant, dépenses jusqu'à 12.7 jours sur des domaines infectés.
Dans la plupart des cas, cependant, admins du site enlevé avec succès le code malveillant. Encore, le nombre de sites réinfectés est encore assez grand - 21.3 pour cent, avec un grand nombre de réinfections qui a lieu dans le premier jour ou dans une semaine. La durée moyenne d'une réinfection a été estimé à 10.5 journées.
Quelle est la raison pour les réinfections? Comme expliqué dans le Grand, il y a plusieurs raisons qui représentent les cas de logiciels malveillants répétés:
- Les opérateurs de Magecart abandonnent souvent porte dérobée sur les magasins piraté et créer des comptes d'administration voyous.
- Les opérateurs malveillants utilisent des mécanismes de réinfection efficaces tels que les déclencheurs de base de données et les tâches périodiques cachées.
- Les opérateurs utilisent également des techniques d'obscurcissement pour masquer leur code.
- Les opérateurs utilisent souvent des exploits zero-day pour pirater des sites vulnérables.
en relation: Magecart Les pirates informatiques Stole Les clients des données de cartes de paiement de Newegg
Historique des logiciels malveillants Magecart et aperçu des attaques
Alors que les origines de Magecart remontent à environ 2010, la première attaque à grande échelle aurait eu lieu à 2015, comme documenté par Sansec. Cette entreprise de cybersécurité a découvert une révélation surprenante : des cybercriminels s'étaient infiltrés 3,500 boutiques en ligne en injectant du code malveillant dans les en-têtes ou pieds de page des pages des sites commerciaux. Le JavaScript injecté a habilement identifié les numéros de carte de crédit saisis dans les formulaires de paiement et a utilisé AJAX pour dupliquer et transmettre les données du formulaire à un emplacement contrôlé par les pirates..
Étonnamment, ce compromis est resté actif pendant six mois avant sa détection, exposant potentiellement des centaines de milliers de cartes de crédit récoltées. Par la suite, Les attaquants de Magecart ont continuellement affiné leurs méthodes, y compris le lancement d'exploits ciblant des outils de sites Web tiers. Dans 2019, ils ont compromis des outils comme le plugin d'optimisation de conversion premium Picreel, intégrer leur code pour récolter les détails de paiement sur des milliers de sites Web. Notamment, même Google Tag Manager a été exploité de la même manière.
En Septembre 2018, les opérateurs Magecart ont réalisé un autre succès majeur, infiltrant les serveurs sécurisés du site Newegg populaire. Toutes les données saisies dans la période entre Août 14 et Septembre 18 A été affecté. Les clients de bureau et mobiles ont été compromis par la violation. Les statistiques ont révélé que le site a plus de 50 millions de visiteurs. Le fait que le code de l'écumoire numérique était disponible pour une période de temps significative permet aux chercheurs de sécurité des raisons de croire que des millions de clients étaient potentiellement touchés.
En Février 2017, le même chercheur a analysé un morceau d'un autre malware évolué Magento qui était capable d'auto-guérison. Ce processus a été possible grâce à un code caché dans la base de données du site Web ciblé.
Le logiciel malveillant Magecart est-il toujours présent 2023
Peu dit, oui.
Une campagne d'écrémage Web Magecart récemment identifiée, caractérisé par sa sophistication et sa nature secrète, cible spécifiquement les sites Web Magento et WooCommerce. Notamment, les victimes de cette campagne comprennent des entités affiliées à des organisations importantes des secteurs de l'alimentation et de la vente au détail.
Sur la base des preuves découvertes, il semblerait que cette campagne soit opérationnelle depuis plusieurs semaines, et dans certains cas, encore plus long. Ce qui distingue cette campagne, c'est l'utilisation d'une technique de dissimulation très avancée., surprenant les experts en cybersécurité par son niveau de sophistication sans précédent.
La campagne souligne l'évolution perpétuelle des techniques de web skimming. Ces méthodes gagnent progressivement en sophistication, posant des défis accrus en matière de détection et d'atténuation grâce à l'analyse statique et à l'analyse externe, les chercheurs disent. Les acteurs menaçants opérant dans ce domaine innovent continuellement, employer des méthodes plus efficaces pour dissimuler leurs attaques sur les sites Web des victimes et échapper à diverses mesures de sécurité conçues pour les exposer.