Security-onderzoeker Willem de Groot onlangs opgegraven de meest succesvolle (dusver) skimming campagne, in het midden waarvan de MagentoCore skimmer. De skimmer heeft reeds besmet 7,339 Magento winkels in de laatste 6 maanden, daarmee de meest agressieve campagne door onderzoekers ontdekten.
De exploitanten van MagentoCore in geslaagd om duizenden e-commerce websites draait op Magento compromis, injecteren van de SCHRAAPSTAAL hun broncode.
MagentoCore Skimmer: Wie is gericht?
Blijkbaar, slachtoffers van deze skimming malware zijn een aantal multi-miljoen, beursgenoteerde ondernemingen. Dit kan erop wijzen dat de campagne is financieel zeer succesvol, maar in feite is het de klanten van deze bedrijven die hun kaarten en identiteiten hebben gestolen.
"De gemiddelde hersteltijd is een paar weken, maar tenminste 1450 winkels hebben de MagentoCore.net parasiet gastheer tijdens de volle verleden 6 maanden. De groep is nog niet klaar: nieuwe merken zijn gekaapt in een tempo van 50 aan 60 winkels per dag gedurende de laatste twee weken", zei de onderzoeker.
MagentoCore Skimmer: Hoe werkt het?
Eerste, de skimming malware is het verkrijgen van toegang tot het bedieningspaneel van de gerichte e-commerce website, in de meeste gevallen via brute force attacks. Zodra het wachtwoord is gebroken en de dreiging acteur is in, een embedded stukje JavaScript wordt toegevoegd aan de HTML-sjabloon.
Het script (backup) opneemt toetsaanslagen van nietsvermoedende klanten en wordt alles in real-time te linken naar de MagentoCore server, die is ingeschreven in Moskou, de onderzoeker ontdekte.
De MagentoCore skimmer bevat ook een herstel mechanisme, en het is ook ontworpen om een backdoor toe te voegen aan cron.php. Dit wordt gedaan zodat de malware periodiek kwaadaardige code die is self-gewist na het uitvoeren downloadt, zonder sporen.
Meer technische details:
– Het bestand clean.json (backup) is in feite PHP-code die is ingesteld om eventuele concurrerende malware uit de gerichte site verwijderen, op zoek naar ATMZOW, 19303817.js en PZ7SKD.
– Het bestand clear.json (backup) is ingesteld op het wachtwoord van een aantal gemeenschappelijke personeel gebruikersnamen veranderen how1are2you3.
Hoe kan Counter de MagentoCore Skimmer?
Groot heeft een aantal vrij goede adviezen voor admins die zijn getroffen door de agressieve skimming campagne:
1. Vind de entry point: hoe kon aanvallers onbevoegde toegang in de eerste plaats? Analyseer toegang backend logs, correleren met personeel IP's en typische werktijden. Als verdachte activiteit wordt geregistreerd van het personeel IPs, het zou kunnen zijn dat een medewerker computer is geïnfecteerd met malware, of dat de aanvaller heeft een erkende sessie gekaapt.
2. Vind backdoors en onbevoegde wijzigingen op de codebase. Meestal zijn er een paar, zowel frontend / backend code en de database. Mijn opensource Magento Malware Scanner kan hier nuttig zijn.
3. Als je eenmaal alle middelen van ongeautoriseerde toegang hebben vastgesteld, sluit ze allemaal tegelijk.
4. Verwijder de skimmer, achterdeuren en andere code. Terugkeren naar een erkend veilige kopie van de codebase, als dat mogelijk is. Malware wordt vaak verborgen in default HTML-header / footers, maar ook in geminimaliseerd, statische JavaScript-bestanden, verborgen in diep in de codebase. Je moet alle HTML / JS activa die tijdens het afrekenen worden geladen controleren.
5. Implementeren van veilige procedures dat de dekking tijdig patchen, sterke staf wachtwoorden etcetera. Een goed uitgangspunt.
In februari vorig jaar, Willem de Groot analyzed a piece of andere ontwikkelde Magento malware die in staat zijn zelfstandige genezing. Dit proces was mogelijk dankzij de verborgen code in de database van de gerichte website.
Deze malware stam was niet de eerste die verborgen code te plaatsen in de database van een website, maar was inderdaad de eerste geschreven in SQL als een opgeslagen procedure. Deze malware was typisch staat oogsten gebruikerskaartgegevens, maar ook in staat zichzelf te bewaren voor onbepaalde tijd.