>> サイバーニュース > MagentoCore: 最も攻撃的なスキマー感染 60 1日あたりの店舗数
サイバーニュース

MagentoCore: 最も攻撃的なスキマー感染 60 1日あたりの店舗数

最近、セキュリティ研究者のWillem de Groot 発掘された 最も成功した (これまでのところ) スキミングキャンペーン, その中心にはMagentoCoreスキマーがあります. スキマーはすでに感染しています 7,339 Magentoは最後に保存します 6 月, したがって、研究者によって発見された最も積極的なキャンペーンになります.




MagentoCoreのオペレーターは、Magentoで実行されている何千ものeコマースWebサイトを侵害することに成功しました。, カードスクレーパーをソースコードに挿入する.

MagentoCoreスキマー: 対象者?

どうやら, このスキミングマルウェアの犠牲者は数百万人です, 上場企業. これは、キャンペーンが経済的に非常に成功していることを示唆している可能性がありますが、実際には、カードとIDを盗まれているのはこれらの企業の顧客です。.

「「平均回復時間は数週間です, しかし、少なくとも 1450 過去の全期間を通じて、店舗はMagentoCore.net寄生虫をホストしてきました 6 月. グループはまだ終わっていません: 新しいブランドは次のペースでハイジャックされます 50 に 60 過去2週間の1日あたりの店舗数」, 研究者は言った.

MagentoCoreスキマー: それはどのように機能しますか?

初め, スキミングマルウェアは、対象となるeコマースWebサイトのコントロールパネルにアクセスできるようになっています。, ほとんどの場合、ブルートフォース攻撃を介して. パスワードが破られ、攻撃者が侵入した場合, 埋め込まれたJavaScriptがHTMLテンプレートに追加されます.

スクリプト (バックアップ) 疑いを持たない顧客からのキーストロークを記録し、すべてをリアルタイムでMagentoCoreサーバーに送信しています, モスクワで登録されています, 研究者は.

MagentoCoreスキマーには回復メカニズムも含まれています, また、cron.phpにバックドアを追加するように設計されています. これは、マルウェアが実行後に自己削除される悪意のあるコードを定期的にダウンロードするために行われます。, 痕跡が残っていない.

より技術的な詳細:

– ファイルclean.json (バックアップ) 実際には、ターゲットサイトから競合するマルウェアを削除するように設定されたPHPコードです, ATMZOWを検索しています, 19303817.jsとPZ7SKD.
– ファイルclear.json (バックアップ) いくつかの一般的なスタッフのユーザー名のパスワードをhow1are2you3に変更するように設定されています.

MagentoCoreスキマーに対抗する方法?

グルートは、積極的なスキミングキャンペーンの影響を受けた管理者にかなり良いアドバイスをしています:

1. エントリポイントを見つける: そもそも、攻撃者はどのようにして不正アクセスを取得できるのでしょうか。? バックエンドアクセスログを分析する, スタッフのIPと通常の労働時間との相関関係. 不審な活動がスタッフのIPから記録された場合, スタッフのコンピューターがマルウェアに感染している可能性があります, または、攻撃者が許可されたセッションを乗っ取ったこと.
2. コードベースへのバックドアと不正な変更を見つける. 通常、いくつかあります, フロントエンド/バックエンドコードとデータベースの両方. 私のオープンソースのMagentoマルウェアスキャナーはここで役に立ちます.
3. 不正アクセスのすべての手段を確立したら, それらをすべて一度に閉じます.
4. スキマーを取り外します, バックドアおよびその他のコード. コードベースの認定された安全なコピーに戻す, もし可能なら. マルウェアは多くの場合、デフォルトのHTMLヘッダー/フッターに隠されています, 最小化された, 静的Javascriptファイル, コードベースの奥深くに隠されている. チェックアウトプロセス中にロードされるすべてのHTML/JSアセットをチェックする必要があります.
5. 安全な手順を実装する タイムリーなパッチをカバーします, 強力なスタッフパスワードなど. 良い出発点.


昨年2月, WillemdeGrootは 別の進化したMagentoマルウェア 自己回復が可能でした. このプロセスは、対象のWebサイトのデータベースに隠されたコードのおかげで可能でした.

このマルウェア株は、Webサイトのデータベースに隠しコードを配置した最初のマルウェアではありませんでしたが、実際、SQLでストアドプロシージャとして記述された最初のマルウェアでした。. このマルウェアは通常、ユーザーカード情報を収集することができました, しかし、不特定の期間、それ自体を保存することもできました.

ミレーナ・ディミトロワ

プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする

その他の投稿

フォローしてください:
ツイッター

コメントを残す

あなたのメールアドレスが公開されることはありません. 必須フィールドは、マークされています *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our プライバシーポリシー.
同意します