I ett nötskal: Magecart har slagit till igen, och e-handelssajter är i en fruktansvärd knipa den här gången. Hackinggrupperna har drabbat onlineföretag med skadlig programvara avsedd att skumma information om kundtransaktioner, vilket inte är något nytt. Vad som är nytt är att den skadliga koden också öppnade minst 19 bakdörrar i butikerna så att om administratörer tar bort den kan hackare snabbt komma in på sajten igen.
Säkerhetsforskare på Sansec säger att de upptäckte att mer än 500 nätbutiker som kör e-handelsplattformen Magento 1 äventyrades i januari. Hackarna använde en kombination av SQL-injektion (SQLi) och PHP Object Injection (POI) för att ta över Magento-plattformen. Sedan serverade en domän som heter ”naturalfreshmall” skadlig programvara till de nu sårbara webbplatserna.
”Natural Fresh-skimmern visar en falsk betalningspopup, som besegrar säkerheten för en (PCI-kompatibel) värdbaserad betalningsform”, twittrade Sansec. ”Betalningar skickas till https://naturalfreshmall[.]com/payment/Payment.php .”
Med kontroll över Magento, närmare bestämt en plugin som heter ”Quickview”, utförde Magecart en man-i-mitten-attack. Skadlig programvara som utgav sig som en betalningspopup skummade transaktionsdata och skickade den till Magecart-kontrollerade servrar.
Dessutom innehöll den skadliga nyttolasten filer som skapade minst 19 bakdörrar till webbplatserna. Så att ta bort skadlig programvara är inte en effektiv begränsning. Administratörer måste först identifiera och ta bort alla bakdörrar och sedan korrigera det komprometterade CMS.
Sansec säger att sårbarheten ligger i en avskriven version av Magento 1-mjukvaran från 2020. För att korrigera sina betalningsplattformar måste administratörer uppgradera till den senaste versionen av Adobe Commerce eller använda Magento 1-patchar som de kan ladda ner från OpenMage-projektet.