Je denkt misschien dat je veilig bent nadat u de malware heeft verwijderd van uw besmette online Magento winkel. Echter, het blijkt dat de beruchte Magecart malware, bekend voor het oogsten van credit card gegevens van formulieren in, re-infecteert, zelfs na clean-up.
De onderzoeker achter deze bevindingen is Willem de Groot die onlangs opgegraven de meest succesvolle skimming campagne, aangedreven door de MagentoCore skimmer. Reeds in september, de skimmer had reeds besmet 7,339 Magento winkels voor een periode van 6 maanden, daarmee de meest agressieve campagne door onderzoekers ontdekten.
Hetzelfde onderzoeker is de ontwikkelaar van de MageReport, een online malware en vulnerability scanner voor online winkels. According to de Groot, in het laatste kwartaal, 1 uit 5 geschonden winkels werden geïnfecteerd (en gereinigd) meerdere keren, sommigen zelfs tot 18 tijden.
Verwant: MagentoCore: de meest agressieve Skimmer Infecteert 60 Winkels per dag
Tenminste 40,000 Magecart-Like Infecties Ontdekt in 3 jaren
De onderzoeker heeft gevolgd infecties vergelijkbaar met Magecart op ten minste 40,000 domeinen voor de afgelopen drie jaar. Zijn laatste bevindingen wijzen erop dat in augustus, September en oktober, de MageReport scanner kwam Magecart skimmers op meer dan 5,400 domeinen. Sommige van deze infecties bleek vrij persistent, uitgave van maximaal 12.7 dagen op geïnfecteerde domeinen.
Meestal, echter, website admins succesvol verwijderd van de kwaadaardige code. Nog steeds, het aantal re-geïnfecteerde sites is nog steeds vrij groot - 21.3 procent, met een groot aantal van herbesmetting die plaatsvinden binnen de eerste dag of binnen een week. De gemiddelde periode voor een herinfectie werd geschat op 10.5 dagen.
Wat is de reden voor de reïnfecties? Als explained by de Groot, Er zijn verschillende redenen goed voor de herhaalde malware gevallen:
- De exploitanten van Magecart vaak laten vallen achterdeur op gehackte winkels en het creëren van schurkenstaten admin accounts.
- De malware operators gebruiken efficiënte herinfectie mechanismen zoals de database triggers en verborgen periodieke taken.
- De operators gebruiken ook vertroebeling technieken om hun code te maskeren.
- De operators maken vaak gebruik van zero-day exploits om kwetsbare locaties te hacken.
Verwant: Magecart Hackers Stole Klanten Payment Card Gegevens uit Newegg
Magecart Malwaregeschiedenis en overzicht van aanvallen
Terwijl de oorsprong van Magecart teruggaat tot ongeveer 2010, de eerste grootschalige aanval zou naar verluidt hebben plaatsgevonden in 2015, zoals gedocumenteerd door Sansec. Dit cyberbeveiligingsbedrijf ontdekte een verrassende onthulling: cybercriminelen waren geïnfiltreerd 3,500 onlinewinkels door kwaadaardige code in de kop- of voetteksten van winkelpagina's te injecteren. Het geïnjecteerde JavaScript identificeerde vakkundig creditcardnummers die in afrekenformulieren werden ingevoerd en gebruikte AJAX om de formuliergegevens te dupliceren en naar een door de hackers gecontroleerde locatie te verzenden.
Verbazingwekkend, dit compromis bleef zes maanden actief voordat het werd ontdekt, waardoor mogelijk honderdduizenden gestolen creditcards bloot komen te liggen. Hierop volgend, Magecart-aanvallers hebben hun methoden voortdurend verfijnd, inclusief het lanceren van exploits gericht op websitetools van derden. In 2019, ze hebben tools zoals de Picreel premium conversie-optimalisatieplug-in gecompromitteerd, door hun code in te sluiten om betalingsgegevens op duizenden websites te verzamelen. Opmerkelijk, zelfs Google Tag Manager is op soortgelijke manieren uitgebuit.
In september 2018, de Magecart-operators maakten opnieuw een grote hit, infiltreren in de beveiligde servers van de populaire Newegg website. Alle ingevoerde gegevens in de periode tussen augustus 14 en september 18 was aangetast. Zowel desktop- als mobiele klanten werden gecompromitteerd door de inbreuk. De statistieken laten zien dat de site heeft meer dan 50 miljoen bezoekers. Het feit dat de digitale skimmer code beschikbaar was voor een aanzienlijke periode geeft security onderzoekers redenen om te geloven dat miljoenen klanten in potentie werden getroffen.
In februari 2017, dezelfde onderzoeker analyseerde stuk andere ontwikkelde Magento malware die die in staat is self-healing. Dit proces was mogelijk dankzij de verborgen code in de database van de gerichte website.
Is Magecart-malware nog steeds aanwezig? 2023
Kort gezegd, yes.
Een onlangs geïdentificeerde Magecart-webskimming-campagne, gekenmerkt door zijn verfijning en geheime karakter, richt zich specifiek op Magento- en WooCommerce-websites. Opmerkelijk, Tot de slachtoffers van deze campagne behoren onder meer entiteiten die verbonden zijn aan belangrijke organisaties in de voedings- en detailhandelssector.
Gebaseerd op het gevonden bewijsmateriaal, het lijkt erop dat deze campagne al enkele weken operationeel is, en in bepaalde gevallen, zelfs langer. Wat deze campagne onderscheidt, is het gebruik van een zeer geavanceerde verhullingstechniek, verrassende cybersecurity-experts vanwege het ongekende niveau van verfijning.
De campagne onderstreept de voortdurende evolutie van webskimming-technieken. Deze methoden worden steeds geavanceerder, Dit brengt grotere uitdagingen met zich mee op het gebied van detectie en mitigatie door middel van statische analyse en extern scannen, onderzoekers zeggen. Bedreigingsactoren die op dit gebied actief zijn, innoveren voortdurend, ze gebruiken effectievere methoden om hun aanvallen op websites van slachtoffers te verbergen en om verschillende beveiligingsmaatregelen te omzeilen die bedoeld zijn om ze bloot te leggen.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: