ricercatore di sicurezza Willem de Groot di recente dissotterrato quello più di successo (finora) campagna di skimming, al centro della quale è skimmer MagentoCore. Lo skimmer ha già infettato 7,339 negozi Magento nell'ultimo 6 mesi, diventando così la campagna più aggressiva scoperto dai ricercatori.
Gli operatori di MagentoCore riusciti a compromettere migliaia di siti e-commerce in esecuzione su Magento, iniettando il raschietto carta nel loro codice sorgente.
MagentoCore Skimmer: CHI E 'mirato?
Apparentemente, vittime di questa scrematura di malware sono alcuni multi-milioni, società quotate. Ciò potrebbe suggerire che la campagna è finanziariamente molto successo, ma in realtà sono i clienti di queste aziende che hanno le loro carte e le identità rubate.
"Il tempo medio di recupero è un paio di settimane, ma almeno 1450 negozi hanno ospitato il parassita MagentoCore.net durante il passato pieno 6 mesi. Il gruppo non ha ancora finito: nuovi marchi vengono dirottati ad un ritmo di 50 a 60 negozi al giorno negli ultimi due settimane", il ricercatore ha detto.
MagentoCore Skimmer: Come funziona?
Primo, il malware scrematura sta guadagnando l'accesso al pannello di controllo del sito e-commerce mirata, nella maggior parte dei casi tramite attacchi di forza bruta. Una volta che la password è rotto e l'attore minaccia è in, un pezzo integrata di JavaScript viene aggiunta al modello HTML.
Il copione (di riserva) sta registrando i tasti premuti da clienti ignari e sta inviando tutto in tempo reale al server MagentoCore, che è registrato a Mosca, il ricercatore ha scoperto.
Lo skimmer MagentoCore contiene anche un meccanismo di recupero, ed è inoltre progettato per aggiungere una backdoor per cron.php. Questo viene fatto in modo che il malware scarica periodicamente codice dannoso che è auto-eliminato dopo l'esecuzione, senza tracce lasciate.
Altri dettagli tecnici:
– Il file clean.json (di riserva) è infatti il codice PHP che è impostato per rimuovere qualsiasi malware concorrenti dal sito di destinazione, alla ricerca di ATMZOW, 19303817.js e PZ7SKD.
– Il file clear.json (di riserva) è destinata a cambiare la password di diversi nomi utente personale comune a how1are2you3.
Come contrastare la MagentoCore Skimmer?
Groot ha qualche buon consiglio per gli amministratori che sono state colpite dalla campagna di scrematura aggressiva:
1. Trovare il punto di ingresso: come potrebbero aggressori ottenere accesso non autorizzato, in primo luogo? Analizzare i log di accesso di back-end, correlazione con il personale di IP e tipici ore di lavoro. Se le attività sospette viene registrata da IP del personale, potrebbe essere che un computer personale è stato infettato da malware, o che l'attaccante ha dirottato una sessione autorizzato.
2. Trova backdoor e modifiche non autorizzate al codebase. Di solito ci sono un paio di, sia in frontend / backend di codice e il database. Il mio opensource Magento Malware Scanner può essere utile qui.
3. Una volta stabilito tutti i mezzi di accesso non autorizzato, chiudere tutto in una volta.
4. Rimuovere lo skimmer, backdoor e altro codice. Ripristinare una copia di sicurezza certificata del codice di base, se possibile. Il malware è spesso nascosta in di default di intestazione HTML / piè di pagina, ma anche in minimizzato, file Javascript statici, nascosto nel profondo della codebase. Si dovrebbe controllare tutte le attività HTML / JS che vengono caricati durante il processo di checkout.
5. Attuare procedure sicure che la copertura patch tempestivo, forti password personale eccetera. Un buon punto di partenza.
Nel febbraio dello scorso anno, Willem de Groot ha analizzato un pezzo di un'altra di malware Magento evoluta che era in grado di auto-guarigione. Questo processo è stato possibile grazie al codice nascosto nel database del sito web mirato.
Questo ceppo di malware non è stato il primo a inserire il codice nascosto nel database di un sito web, ma era davvero il primo scritto in SQL come una stored procedure. Questo malware era tipicamente capace di raccolta dati della carta di utente, ma era anche capace di conservare per il periodo di tempo indeterminato.