Οι αναλυτές βρήκαν την πηγή μιας μαζικής παραβίασης σε περισσότερα από 500 καταστήματα ηλεκτρονικού εμπορίου που λειτουργούν την πλατφόρμα Magento 1 και περιλαμβάνει έναν μόνο τομέα που φορτώνει ένα skimmer πιστωτικής κάρτας σε όλα αυτά.
Σύμφωνα με τη Sansec, η επίθεση έγινε εμφανής στα τέλη του περασμένου μήνα, όταν ο ανιχνευτής τους ανακάλυψε 374 μολύνσεις την ίδια μέρα, όλες χρησιμοποιώντας το ίδιο κακόβουλο λογισμικό.
Ο τομέας από τον οποίο οι φορείς απειλών φόρτωσαν το κακόβουλο λογισμικό είναι το naturalfreshmall[.]com, επί του παρόντος εκτός σύνδεσης, και ο στόχος των φορέων απειλής ήταν να κλέψουν τις πληροφορίες της πιστωτικής κάρτας των πελατών στα στοχευμένα ηλεκτρονικά καταστήματα.
Planting backdoors
Η μετέπειτα έρευνα της Sansec αποκάλυψε ότι οι εισβολείς έκαναν κατάχρηση μιας γνωστής ευπάθειας στην προσθήκη Quickview για να εισαγάγουν αδίστακτους χρήστες διαχειριστή Magento που θα μπορούσαν στη συνέχεια να εκτελούν κώδικα με τα υψηλότερα προνόμια.
Η κατάχρηση συμβαίνει μέσω της προσθήκης ενός κανόνα επικύρωσης στον customer_eav_attribute . Αυτό εξαπατά την εφαρμογή κεντρικού υπολογιστή να δημιουργήσει ένα κακόβουλο αντικείμενο, το οποίο στη συνέχεια χρησιμοποιείται για τη δημιουργία μιας απλής κερκόπορτας (api_1.php).
Οι κανόνες επικύρωσης για νέους πελάτες είναι το έξυπνο μέρος της επίθεσης, καθώς αυτό ενεργοποιεί το ωφέλιμο φορτίο που θα εισαχθεί στη σελίδα εγγραφής.
Εκτός από την έγχυση του skimmer της πιστωτικής κάρτας, οι χάκερ μπορούν επίσης να χρησιμοποιήσουν το backdoor api_1.php για να εκτελέσουν εντολές στον απομακρυσμένο διακομιστή, οδηγώντας σε πλήρη κατάληψη του ιστότοπου.
Στην πράξη, ωστόσο, η συλλογή στοιχείων πληρωμής με χρήση επιθέσεων MageCart (skimmers) είναι πιο επωφελής για τους φορείς απειλών. γι’ αυτό το συγκεκριμένο κύμα επιθέσεων επικεντρώθηκε σε αυτό ακριβώς.
Η Sansec επισημαίνει ότι σε μια ακραία περίπτωση, οι αντίπαλοι εισήγαγαν έως και 19 κερκόπορτες σε μια ενιαία πλατφόρμα ηλεκτρονικού εμπορίου, πιθανώς πειραματιζόμενοι για να καταλάβουν τι λειτουργεί καλύτερα για τον σκοπό τους ή όντας απλώς πολύ σοβαροί σχετικά με τον πλεονασμό του.
Τουλάχιστον 19 (!) backdoors εγχύθηκαν σε μία περίπτωση της μαζικής εισβολής NaturalFreshMall Magento.
Magento 1 εξακολουθεί να χρησιμοποιείται
Η Adobe έχει σταματήσει να υποστηρίζει τον κλάδο Magento 1 της δημοφιλής πλατφόρμας ηλεκτρονικού εμπορίου από τις 30 Ιουνίου 2020, αλλά χιλιάδες ιστότοποι εξακολουθούν να χρησιμοποιούν το απαρχαιωμένο λογισμικό.
Αυτό καθιστά τους ιστότοπους ευάλωτους σε ένα ευρύ φάσμα επιθέσεων χάκερ και κατ’ επέκταση θέτει σε κίνδυνο τις ευαίσθητες λεπτομέρειες των πελατών τους.
Αυτά τα στοιχεία περιλαμβάνουν συνήθως αριθμούς πιστωτικών καρτών, διευθύνσεις αποστολής, ονόματα, αριθμούς τηλεφώνου, διευθύνσεις email και γενικά όλα όσα χρειάζονται για την υποβολή μιας ηλεκτρονικής παραγγελίας.
Συνιστάται ανεπιφύλακτα όλοι οι διαχειριστές του Magento να επιβεβαιώνουν ότι χρησιμοποιούν την πιο πρόσφατη έκδοση της πλατφόρμας και να κάνουν αναβάθμιση εάν χρησιμοποιούν παλαιότερες μη υποστηριζόμενες εκδόσεις.
