Si potrebbe pensare che sei al sicuro, dopo aver rimosso il malware dal vostro negozio on-line infetto Magento. Tuttavia, si scopre che il famigerato minacce Magecart, noto per la raccolta dati della carta di credito da forme checkout, ri-infetta anche dopo clean-up.
Il ricercatore dietro a questi risultati è Willem de Groot che ha recentemente portato alla luce la campagna di scrematura di maggior successo, guidato dal skimmer MagentoCore. Indietro nel mese di settembre, lo skimmer aveva già infettato 7,339 negozi Magento per un periodo di 6 mesi, diventando così la campagna più aggressiva scoperto dai ricercatori.
Lo stesso ricercatore è lo sviluppatore del MageReport, un malware e vulnerabilità scanner on-line per i negozi online. Secondo l'United, nell'ultimo trimestre, 1 su 5 negozi violato stati infettati (e puliti) più volte, alcuni anche fino a 18 volte.
Correlata: MagentoCore: il più aggressivo Skimmer infetta 60 Negozi al giorno
Almeno 40,000 Magecart-come infezioni scoperto in 3 Anni
Il ricercatore ha monitorato infezioni simili a Magecart su almeno 40,000 domini per gli ultimi tre anni. I suoi ultimi risultati indicano che nel mese di agosto, Settembre e ottobre, lo scanner MageReport imbattuto skimmer Magecart su più di 5,400 domini. Alcune di queste infezioni si è rivelata abbastanza persistente, la spesa fino a 12.7 giorni su domini infetti.
Nella maggior parte dei casi, tuttavia, Gli amministratori del sito web rimosso con successo il codice maligno. Ancora, il numero di siti re-infettati è ancora abbastanza grande - 21.3 per cento, con un gran numero di reinfezione che si svolgono entro il primo giorno o entro una settimana. Il periodo medio di una reinfezione è stato stimato a 10.5 giorni.
Qual è la ragione per la reinfezione? Come spiegato nella Grande, ci sono diverse ragioni contabili per i casi di malware ripetuti:
- Gli operatori di Magecart spesso cadono backdoor sui negozi violato e creare account di amministratore canaglia.
- Gli operatori di malware utilizzano meccanismi di reinfezione efficienti come trigger del database e task periodici nascosti.
- Gli operatori utilizzano anche tecniche di offuscamento per mascherare il loro codice.
- Gli operatori utilizzano spesso exploit zero-day per hackerare siti vulnerabili.
Correlata: Magecart hacker ha rubato i dati di carte di pagamento clienti da Newegg
Cronologia del malware Magecart e panoramica degli attacchi
Mentre le origini di Magecart risalgono al circa 2010, secondo quanto riferito, il primo attacco su larga scala si è verificato in 2015, come documentato dal Sansec. Questa società di sicurezza informatica ha fatto una rivelazione sorprendente: i criminali informatici si erano infiltrati 3,500 negozi online inserendo codice dannoso nelle intestazioni o nei piè di pagina delle pagine dei siti di shopping. Il JavaScript iniettato identificava abilmente i numeri delle carte di credito immesse nei moduli di pagamento e utilizzava AJAX per duplicare e trasmettere i dati del modulo in una posizione controllata dagli hacker.
Sorprendentemente, questo compromesso è rimasto attivo per sei mesi prima del rilevamento, esponendo potenzialmente centinaia di migliaia di carte di credito raccolte. Successivamente, Gli aggressori di Magecart hanno continuamente perfezionato i loro metodi, incluso il lancio di exploit mirati a strumenti di siti Web di terze parti. In 2019, hanno compromesso strumenti come il plug-in premium di ottimizzazione delle conversioni Picreel, incorporando il loro codice per raccogliere i dettagli di pagamento su migliaia di siti web. In particolare, anche Google Tag Manager è stato sfruttato in modo simile.
Nel mese di settembre 2018, gli operatori Magecart hanno fatto un altro grande successo, infiltrarsi nei server sicuri del popolare sito Newegg. Tutti i dati inseriti nel periodo tra agosto 14 e settembre 18 è stato influenzato. Sia i clienti desktop che quelli mobili sono stati compromessi dalla violazione. Le statistiche rivelato che il sito ha più di 50 milione di visitatori. Il fatto che il codice skimmer digitale era disponibile per un periodo di tempo significativo dà motivi di ricercatori di sicurezza di credere che milioni di clienti sono stati potenzialmente interessati.
Nel mese di febbraio 2017, lo stesso ricercatore ha analizzato un pezzo di un'altra minacce Magento evoluto che era in grado di auto-guarigione. Questo processo è stato possibile grazie al codice nascosto nel database del sito web mirato.
Il malware Magecart è ancora in circolazione 2023
Poco detto, sì.
Una campagna di web skimming Magecart identificata di recente, caratterizzato dalla sua raffinatezza e natura nascosta, ha preso di mira specificamente i siti Web Magento e WooCommerce. In particolare, Tra le vittime di questa campagna figurano entità affiliate a organizzazioni significative nei settori alimentare e della vendita al dettaglio.
Sulla base delle prove scoperte, sembra che questa campagna sia operativa da diverse settimane, e in alcuni casi, ancora più a lungo. Ciò che distingue questa campagna è l'utilizzo di una tecnica di occultamento altamente avanzata, sorprende gli esperti di sicurezza informatica grazie al suo livello di sofisticazione senza precedenti.
La campagna sottolinea la continua evoluzione delle tecniche di web skimming. Questi metodi stanno progressivamente avanzando verso la sofisticazione, ponendo sfide più impegnative per il rilevamento e la mitigazione attraverso l’analisi statica e la scansione esterna, dicono i ricercatori. Gli attori delle minacce che operano in questo campo innovano continuamente, impiegando metodi più efficaci per nascondere i propri attacchi all'interno dei siti Web delle vittime ed eludere le varie misure di sicurezza progettate per esporli.