Magento tem sido alvo mais uma vez por novo malware que é capaz de auto-cura. Este processo é possível graças ao código escondido no banco de dados do site da alvejado. O pesquisador que se deparou com o novo padrão de malware é Jeroen Boersma. Contudo, Willem de Groot é o único que analisou.
Esta estirpe malware não é o primeiro a colocar código escondido no banco de dados do site, mas é de fato o primeiro escrito em SQL como um procedimento armazenado, como explicado por pesquisadores.
De fato, o malware média baseada em Javascript é normalmente injetado no cabeçalho ou rodapé estática HTML definições no banco de dados do site. Limpeza esses registros costumava ser suficiente para se livrar deste tipo de malware. Infelizmente, este procedimento não irá fazer o trabalho com a ameaça recém-descoberto. disse brevemente, o novo malware pode restaurar-se depois de ter sido eliminado.
Como é um ataque realizado?
O gatilho é executado cada vez que um novo pedido é feito. As verificações de consulta para a existência de malware no cabeçalho, rodapé, copyright e cada bloco CMS. Se ausente, ele vai voltar a adicionar-se.
Esta descoberta mostra que uma nova fase de evolução do malware já começou. Infelizmente, simplesmente a digitalização de arquivos não é mais suficiente, como métodos de detecção de software malicioso deve incluir a análise da base de dados, pesquisadores adicionar.
plataformas Magento são muitas vezes alvo por malware. A nova instância é tipicamente capaz de colheita informação do cartão de utilizador, mas também é capaz de preservar-se por tempo indeterminado.
Willem de Groot (o pesquisador que analisou o malware) actualiza o malware digitalizador que contém um conjunto de regras e amostras para detectar malwares Magento. Website proprietários podem agora fazer uma varredura para se certificar de que tudo está bem com suas plataformas.
No ano passado, sites Magento foram alvo de ransomware conhecido como KimcilWare. A ameaça criptografado webserver arquivos e acrescentou seu arquivo de índice em servidores vitimados. O .kimcilware extensão pode ser visto por toda a página Índice.