Magecart keräsi luottokorttitiedot ja loi useita takaovia satoihin verkkokauppasivustoihin

Pähkinänkuoressa: Magecart on iskenyt jälleen, ja verkkokauppasivustot ovat tällä kertaa kauheassa kurkissa. Hakkerointiryhmät ovat iskeneet verkkoyrityksiin haittaohjelmilla, joiden tarkoituksena on lukaista asiakkaiden tapahtumatietoja, mikä ei ole mitään uutta. Uutta on se, että haitallinen koodi avasi myös vähintään 19 takaovea myymälöissä, joten jos järjestelmänvalvojat poistavat sen, hakkerit pääsevät nopeasti takaisin sivustolle.

Sansecin tietoturvatutkijat kertovat havainneensa tammikuussa, että yli 500 Magento 1 -verkkokauppaalustaa käyttävää verkkokauppaa vaarantui. Hakkerit käyttivät SQL-injektion (SQLi) ja PHP Object Injectionin (POI) yhdistelmää valtaakseen Magento-alustan. Sitten ”naturalfreshmal”-niminen verkkotunnus toimitti haittaohjelman nyt haavoittuville sivustoille.

”Natural Fresh skimmer näyttää väärennetyn maksuikkunan, mikä kumoaa (PCI-yhteensopiva) isännöidyn maksulomakkeen turvallisuuden”, Sansec twiittasi. ”Maksut lähetetään osoitteeseen https://naturalfreshmal[.]com/payment/Payment.php .”

Halliessaan Magentoa, erityisesti Quickview-laajennusta, Magecart suoritti mies-middle-hyökkäyksen. Maksun ponnahdusikkunana esiintyvä haittaohjelma nappasi tapahtumatiedot ja lähetti ne Magecartin ohjaamille palvelimille.

Lisäksi haitallinen hyötykuorma sisälsi tiedostoja, jotka loivat vähintään 19 takaovea verkkosivustoille. Joten haittaohjelmien poistaminen ei ole tehokas lievennys. Järjestelmänvalvojien on ensin tunnistettava ja poistettava kaikki takaovet ja sitten korjattava vaarantunut sisällönhallintajärjestelmä.

Sansecin mukaan haavoittuvuus piilee Magento 1 -ohjelmiston vanhentuneessa versiossa vuodelta 2020. Maksualustojensa korjaamiseksi järjestelmänvalvojien on päivitettävä Adobe Commercen uusimpaan versioon tai käytettävä Magento 1 -korjauksia, jotka he voivat ladata OpenMage-projektista.