I et nøtteskall: Magecart har slått til igjen, og e-handelsnettsteder er i en forferdelig syklus denne gangen. Hackinggruppene har rammet nettbaserte virksomheter med skadelig programvare ment å skumme kundetransaksjonsinformasjon, noe som ikke er noe nytt. Det som er nytt er at den ondsinnede koden også åpnet minst 19 bakdører i butikkene slik at hvis administratorer fjerner den, kan hackere raskt komme inn på siden igjen.
Sikkerhetsforskere ved Sansec sier at de oppdaget at mer enn 500 nettbutikker som kjører Magento 1 e-handelsplattformen ble kompromittert i januar. Hackerne brukte en kombinasjon av SQL-injeksjon (SQLi) og PHP Object Injection (POI) for å overta Magento-plattformen. Deretter serverte et domene kalt «naturalfreshmall» skadevaren til de nå sårbare nettstedene.
«The Natural Fresh-skimmer viser en falsk betalings-popup, som beseirer sikkerheten til et (PCI-kompatibelt) vertsbasert betalingsskjema,» twitret Sansec. «Betalinger sendes til https://naturalfreshmall[.]com/payment/Payment.php .»
Med kontroll over Magento, nærmere bestemt en plugin kalt «Quickview», utførte Magecart et mann-i-midten-angrep. Skadelig programvare som utga seg som en betalingspopup skummet transaksjonsdata og sendte dem til Magecart-kontrollerte servere.
Videre inneholdt den ondsinnede nyttelasten filer som skapte minst 19 bakdører til nettsidene. Så fjerning av skadelig programvare er ikke en effektiv reduksjon. Administratorer må først identifisere og fjerne alle bakdørene og deretter lappe det kompromitterte CMS.
Sansec sier at sårbarheten ligger i en avskrevet versjon av Magento 1-programvaren fra 2020. For å lappe betalingsplattformene deres må administratorer oppgradere til den nyeste versjonen av Adobe Commerce eller bruke Magento 1-patcher som de kan laste ned fra OpenMage-prosjektet.