Kurz gesagt: Magecart hat erneut zugeschlagen, und E-Commerce-Sites befinden sich diesmal in einer schrecklichen Krise. Die Hackergruppen haben Online-Unternehmen mit Malware getroffen, die darauf abzielt, Kundentransaktionsinformationen zu überfliegen, was nichts Neues ist. Neu ist, dass der Schadcode auch mindestens 19 Backdoors in den Stores öffnete, sodass Hacker schnell wieder in die Seite gelangen können, wenn Admins ihn entfernen.
Sicherheitsforscher von Sansec haben festgestellt, dass im Januar mehr als 500 Online-Shops, auf denen die E-Commerce-Plattform Magento 1 läuft, kompromittiert wurden. Die Hacker verwendeten eine Kombination aus SQL-Injection (SQLi) und PHP Object Injection (POI), um die Magento-Plattform zu übernehmen. Dann lieferte eine Domain namens „naturalfreshmall“ die Malware an die jetzt gefährdeten Seiten.
„Der Natural Fresh Skimmer zeigt ein gefälschtes Zahlungs-Popup, das die Sicherheit eines (PCI-konformen) gehosteten Zahlungsformulars zunichte macht“, twitterte Sansec. „Zahlungen werden an https://naturalfreshmall[.]com/payment/Payment.php gesendet .“
Mit der Kontrolle über Magento, insbesondere ein Plugin namens „Quickview“, führte Magecart einen Man-in-the-Middle-Angriff durch. Malware, die sich als Zahlungs-Popup ausgibt, hat Transaktionsdaten abgeschöpft und an von Magecart kontrollierte Server gesendet.
Darüber hinaus enthielt die schädliche Nutzlast Dateien, die mindestens 19 Hintertüren zu den Websites erstellten. Das Entfernen der Malware ist also keine wirksame Gegenmaßnahme. Administratoren müssen zuerst alle Backdoors identifizieren und entfernen und dann das kompromittierte CMS patchen.
Laut Sansec liegt die Schwachstelle in einer veralteten Version der Magento 1-Software aus dem Jahr 2020. Um ihre Zahlungsplattformen zu patchen, müssen Administratoren auf die neueste Version von Adobe Commerce aktualisieren oder Magento 1-Patches verwenden, die sie vom OpenMage-Projekt herunterladen können .