Magecart przejrzał informacje o kartach kredytowych i stworzył wiele backdoorów w setkach witryn e-commerce

W skrócie: Magecart znów uderzył, a witryny e-commerce są tym razem w straszliwej marynacie. Grupy hakerskie zaatakowały firmy internetowe złośliwym oprogramowaniem mającym na celu przeglądanie informacji o transakcjach klientów, co nie jest niczym nowym. Nowością jest to, że złośliwy kod otworzył również co najmniej 19 backdoorów w sklepach, więc jeśli administratorzy go usuną, hakerzy mogą szybko wrócić na stronę.

Badacze bezpieczeństwa z Sansec twierdzą, że odkryli, że w styczniu naruszono ponad 500 sklepów internetowych obsługujących platformę e-commerce Magento 1. Hakerzy wykorzystali kombinację SQL injection (SQLi) i PHP Object Injection (POI), aby przejąć platformę Magento. Następnie domena o nazwie „naturalfreshmall" dostarczyła złośliwe oprogramowanie do obecnie podatnych na ataki witryn.

„Skimmer Natural Fresh wyświetla fałszywe wyskakujące okienko płatności, pokonując zabezpieczenia hostowanego formularza płatności (zgodnego z PCI)” – napisał Sansec na Twitterze. „Płatności są wysyłane na adres https://naturalfreshmall[.]com/payment/Payment.php “.

Mając kontrolę nad Magento, a konkretnie nad wtyczką o nazwie „Quickview”, Magecart przeprowadził atak typu „man-in-the-middle”. Złośliwe oprogramowanie udające wyskakujące okienko płatności przeglądało dane transakcji i wysyłało je na serwery kontrolowane przez Magecart.

Ponadto szkodliwy ładunek zawierał pliki, które stworzyły co najmniej 19 backdoorów do stron internetowych. Dlatego usunięcie złośliwego oprogramowania nie jest skutecznym środkiem zaradczym. Administratorzy muszą najpierw zidentyfikować i usunąć wszystkie backdoory, a następnie załatać zagrożony system CMS.

Sansec twierdzi, że luka leży w przestarzałej wersji oprogramowania Magento 1 z 2020 r. Aby załatać swoje platformy płatnicze, administratorzy muszą zaktualizować Adobe Commerce do najnowszej wersji lub użyć łatek Magento 1, które mogą pobrać z projektu OpenMage.