Magento è stato preso di mira ancora una volta da nuovo malware che è in grado di auto-guarigione. Questo processo è possibile grazie al codice nascosto nel database del sito web mirato. Il ricercatore che è venuto attraverso il nuovo modello di malware è Jeroen Boersma. Tuttavia, Willem de Groot è colui che ha analizzato lo.
Questo ceppo di malware non è il primo a inserire il codice nascosto nel database di un sito web, ma è davvero la prima scritta in SQL come una stored procedure, come spiegato dai ricercatori.
Infatti, il malware media JavaScript-based è in genere iniettato nelle definizioni statiche intestazione o piè HTML nel database del sito web. Pulizia questi record usato per essere sufficiente per sbarazzarsi di questo tipo di malware. Sfortunatamente, questa procedura non farà il lavoro con la minaccia appena scoperta. Poco detto, il nuovo malware può ripristinare quando le è stato cancellato.
Come è un attacco effettuato?
Il trigger viene eseguito ogni volta che un nuovo ordine è fatto. I controlli query per l'esistenza del malware nell'intestazione, footer, diritto d'autore e ogni blocco CMS. Se assente, si ri-aggiungere se stessa.
Questa scoperta dimostra che una nuova fase di evoluzione del malware è cominciata. Sfortunatamente, semplicemente la scansione dei file non è più sufficiente, come metodi di rilevamento di malware dovrebbero includere l'analisi del database, ricercatori Inserisci.
piattaforme di Magento sono spesso presi di mira da malware. La nuova istanza è in genere in grado di raccolta dati della carta di utente, ma è anche capace di conservare per il periodo di tempo non specificato.
Willem de Groot (il ricercatore che ha analizzato il malware) ha aggiornato il malware scanner che contiene un insieme di regole e di campioni per rilevare il malware Magento. proprietari di siti web possono ora fare una spazzata per assicurarsi che tutto sia a posto con le loro piattaforme.
L'anno scorso i siti web Magento sono stati presi di mira da ransomware noto come KimcilWare. La minaccia crittografata file server web e ha aggiunto il suo file di indice su server vittime. L'estensione .kimcilware potrebbe essere visto in tutto il pagina Indice.