In poche parole: Magecart ha colpito ancora e i siti di e-commerce questa volta sono in una terribile crisi. I gruppi di hacker hanno colpito le aziende online con malware inteso a scremare le informazioni sulle transazioni dei clienti, il che non è una novità. La novità è che il codice dannoso ha anche aperto almeno 19 backdoor nei negozi in modo che se gli amministratori lo rimuovono, gli hacker possono tornare rapidamente nel sito.
I ricercatori di sicurezza di Sansec affermano di aver scoperto che più di 500 negozi online che utilizzano la piattaforma di e-commerce Magento 1 sono stati compromessi a gennaio. Gli hacker hanno utilizzato una combinazione di SQL injection (SQLi) e PHP Object Injection (POI) per rilevare la piattaforma Magento. Quindi un dominio chiamato “naturalfreshmall” ha servito il malware ai siti ora vulnerabili.
“Lo skimmer Natural Fresh mostra un popup di pagamento falso, vanificando la sicurezza di un modulo di pagamento ospitato (conforme a PCI)”, ha twittato Sansec. “I pagamenti vengono inviati a https://naturalfreshmall[.]com/payment/Payment.php .”
Con il controllo su Magento, in particolare, un plugin chiamato “Quickview”, Magecart ha eseguito un attacco man-in-the-middle. Il malware fingendosi un popup di pagamento ha scremato i dati delle transazioni e li ha inviati ai server controllati da Magecart.
Inoltre, il payload dannoso conteneva file che creavano almeno 19 backdoor verso i siti web. Quindi la rimozione del malware non è una mitigazione efficace. Gli amministratori devono prima identificare e rimuovere tutte le backdoor e quindi applicare una patch al CMS compromesso.
Sansec afferma che la vulnerabilità risiede in una versione deprezzata del software Magento 1 del 2020. Per applicare patch alle loro piattaforme di pagamento, gli amministratori devono eseguire l’aggiornamento alla versione più recente di Adobe Commerce o utilizzare le patch Magento 1 che possono scaricare dal progetto OpenMage.