Коротше кажучи: Magecart знову вдарив, і цього разу сайти електронної комерції знаходяться в жахливому засолі. Хакерські групи вразили онлайн-бізнеси зловмисним програмним забезпеченням, призначеним для перегляду інформації про транзакції клієнтів, що не є новим. Новим є те, що шкідливий код також відкрив принаймні 19 бекдорів у магазинах, щоб, якщо адміністратори видалили його, хакери могли швидко повернутися на сайт.
Дослідники безпеки Sansec кажуть, що вони виявили, що понад 500 інтернет-магазинів, що працюють на платформі електронної комерції Magento 1, були зламані в січні. Хакери використали комбінацію SQL injection (SQLi) і PHP Object Injection (POI), щоб захопити платформу Magento. Потім домен під назвою "naturalfreshmall" передав зловмисне програмне забезпечення на зараз уразливі сайти.
«Скімер Natural Fresh показує спливаюче вікно з підробленим платежем, що порушує безпеку (сумісної з PCI) розміщеної форми оплати», — написав Sansec. "Платежі надсилаються на адресу https://naturalfreshmall[.]com/payment/Payment.php ."
Контролюючи Magento, зокрема, плагін під назвою «Quickview», Magecart здійснив атаку «людина посередині». Шкідливе програмне забезпечення, яке представляє собою спливаюче вікно платежу, перебрало дані транзакції та надіслало їх на сервери, які контролюються Magecart.
Крім того, шкідливе корисне навантаження містило файли, які створили щонайменше 19 бекдорів для веб-сайтів. Тому видалення шкідливого програмного забезпечення не є ефективним пом'якшенням. Адміністратори повинні спочатку визначити та видалити всі бекдори, а потім виправити скомпрометовану CMS.
Sansec каже, що вразливість полягає в знеціненій версії програмного забезпечення Magento 1 з 2020 року. Щоб виправити свої платіжні платформи, адміністратори повинні оновити до останньої версії Adobe Commerce або використовувати виправлення Magento 1, які вони можуть завантажити з проекту OpenMage.