Fast 2.000 Magento 1-Online-Shops wurden am Wochenende gehackt

Über das Wochenende wurden mehr als 2.000 Magento-Geschäfte weltweit in einer der bislang größten dokumentierten Kampagnen gehackt. Diese Angriffe erinnern an „Megacart-Stil“, bei dem Angreifer einen Online-Einkaufswagen mit im Allgemeinen nur wenigen Codezeilen kompromittieren, mit dem die von ihnen eingegebene Benutzerkarte geklaut wird. Diese Details werden dann an den Befehls- und Kontrollserver gesendet, der den Gaunern gehört, die sie im dunklen Internet verkaufen oder auf betrügerische Weise zum Kauf von Gegenständen verwenden können.

Sansec, eine auf Megacart-Angriffe spezialisierte Sicherheitsfirma, bestätigte über 2000 Magento-Angriffe am Wochenende. Es wurde ein Bericht über den Vorfall veröffentlicht, wonach der Angriff auf Geschäfte mit der nicht mehr unterstützten Magento-Version 1 abzielte, die im Juni letzten Jahres von Adobe, den Eigentümern und Vertreibern der Plattform, angekündigt wurde. Dem Bericht zufolge wurden insgesamt 1904 Geschäfte mit einem einzigartigen Keylogger infiziert, der Kartendaten mithilfe von Checkout-Seiten stahl, die von Online-Geschäften verwendet wurden.

 Die meisten Geschäfte, die kompromittiert wurden, haben keine Vorgeschichte früherer Sicherheitsvorfälle. Daher verwenden die Angreifer möglicherweise eine völlig neue Angriffsmethode, um Zugriff auf die von den Filialen verwendeten Server zu erhalten. Diese neue Methode gewährte ihnen nicht nur Zugriff auf die Daten, sondern schrieb auch neuen Code auf ihre Checkout-Seiten. Es ist wahrscheinlich, dass ein unbekannter Exploit verwendet wurde und wahrscheinlich von einem unterirdischen Hacker-Forum gekauft wird.

Sansec bemerkt: „Während wir noch den genauen Vektor untersuchen, kann diese Kampagne mit einem kürzlich durchgeführten Magento 1 0-Tag (Exploit) zusammenhängen, der vor einigen Wochen zum Verkauf angeboten wurde. Der Benutzer z3r0day kündigte in einem Hacking-Forum an, eine Magento 1-Exploit-Methode für die Remotecodeausführung, einschließlich Anweisungsvideo, für 5000 US-Dollar zu verkaufen. Angeblich ist kein vorheriges Magento-Administratorkonto erforderlich. Der Verkäufer z3r0day betonte, dass – da Magento 1 das Ende des Lebens ist – von Adobe keine offiziellen Patches zur Behebung dieses Fehlers bereitgestellt werden, wodurch dieser Exploit den Ladenbesitzern, die die Legacy-Plattform verwenden, zusätzlichen Schaden zufügt. Um den Deal zu versüßen, versprach z3r0day, nur 10 Exemplare des gefährlichen Exploits zu verkaufen. “

Der Angreifer verwendete die IPs 92.242.62.210 (US) und 91.121.94.121 (OVH, FR), die die Interaktion mit dem Magento-Administrator und der Magento Connect-Funktion ermöglichten, um verschiedene Dateien, einschließlich Malware mysql.php, herunterzuladen und zu installieren. Diese schädliche Datei wird automatisch gelöscht, sobald sie der von Magento verwendeten Datei prototype.js hinzugefügt wird.

Die Forscher stellten fest, dass am Wochenende zahlreiche Versuche unternommen wurden, Dateien zu installieren, möglicherweise um den verbesserten Skimmer zu installieren. Dieser Skimmer kann auch in der Datei prototype.js installiert werden und wurde ausgeführt, wenn auf die Checkout-Seite verwiesen wird. Der Angriff wurde verwendet, um Kreditkarteninformationen zu stehlen und die Zahlung später umzuleiten. Den Forschern gelang es zu verfolgen, wohin die Zahlung exfiltriert wird. Sie entdeckten, dass es sich um dieselbe von Moskau gehostete Site unter hxxps: //imags.pw/502.jsp handelt, auf der der Keylogger gespeichert ist.

Offiziell wurde Magento 1 ab 2020 als „End-of-Life“ gekennzeichnet. Daher wurden bei Adobe keine Updates für alle End-of-Life-Produkte empfangen. Diese Kunden wurden jedoch über den Fall informiert und sagten, dass sie auf Version 2 migrieren sollten. Zu diesem Zeitpunkt führten schätzungsweise über 270.000 Geschäfte Version 1 aus. Ende 2019 lag diese Zahl zwischen 200.000 und 240.000. Diese Zahl lag Ende Juni bei ca. 110.000, als Adobe das End-of-Life offiziell ankündigte. Das Unternehmen hat das Datum aufgrund der langsamen Migration auf Version 2 zweimal verschoben. Von den hunderttausenden Geschäften, die für den Angriff anfällig waren, ist das Verkehrsaufkommen gering. Dies bedeutet, dass sie die Zeit eines Hackers nicht wert wären.

Da der Endbenutzer oder Kunde die Megacart-Angreifer verhindern musste, war dies der erste vorbeugende Ratschlag, der zu dem Zeitpunkt gegeben wurde, als die erste beobachtete Verhaftung im Zusammenhang mit Magierkartenangriffen in Indonesien im Jahr 2020 erfolgte:

„Um große finanzielle Verluste durch JS-Sniffer [Angriffe im Magierwagenstil] zu vermeiden, wird Online-Benutzern empfohlen, eine separate Prepaid-Karte für Online-Zahlungen zu verwenden, Ausgabenlimits für Karten festzulegen, für Online-Einkäufe zu verwenden oder sogar eine separate zu verwenden Bankkonto ausschließlich für Online-Einkäufe. Online-Händler wiederum müssen ihre Software auf dem neuesten Stand halten und regelmäßige Cybersicherheitsbewertungen ihrer Websites durchführen. “

MasterCard und Visa haben aufgrund der langsamen Umstellung auf Version 2 Warnungen ausgegeben. Visa warnte, dass Online-Shop-Besitzer, die nicht auf Version 1 migriert haben, möglicherweise nicht PCI DSS-konform sind Finanzinstitutionen. Es ist sehr verheerend, da sie direkt für die Schäden haftbar gemacht werden können, die sie ihren Kunden zufügen.

Während die Auswirkungen der Warnung der Mastercard nicht besagten, dass 77% aller Web-Skimming-Vorfälle von Unternehmen stammten, die die PCI-DSS-Anforderung 6 nicht erfüllten – die Regel, nach der Ladenbesitzer die Anforderungen erfüllen müssen -Datensysteme. Die Nichteinhaltung des Standards hat mehrere andere Nachteile für Online-Shop-Besitzer, einschließlich monatlicher Strafen, die zwischen 5.000 USD und 100.000 USD aus verschiedenen Geschäftsbereichen liegen können. Wenn ein Vorfall in Bezug auf einen Verstoß vorliegt und als nicht konform eingestuft wird, können die folgenden Strafen verhängt werden:

  • Geldbußen von 50 USD bis 90 USD pro Karteninhaber, dessen Informationen gefährdet waren,
  • Beendigung der Beziehung zwischen Unternehmen und Zahlungsabwickler,
  • Kunden können zivile Suiten in den Unternehmen einrichten

Wenn Sie also noch Version 1 verwenden, sollten Sie zu Magento Version 2 wechseln, da der verwendete unbekannte Exploit nicht gepatcht wird.