2.000 Magento Onlineshops gehackt

Die Sicherheitsexperten von Sansec Securities berichten, dass fast zweitausend Onlineshops, die die E-Commerce-Plattform Adobe Magento 1 einsetzen, auf der ganzen Welt in der bisher größten dokumentierten Kampagne gehackt wurden. Der als „CardBleed“ bezeichnete Angriff war ein typischer Magecart-Angriff: Ein injizierter bösartiger Code würde die Zahlungsinformationen der Shopbesucher abfangen. In den untersuchten Geschäften lief Magento Version 1, das im vergangenen Juni als End-of-Life angekündigt wurde.

Das Sansec-Früherkennungssystem, das den globalen E-Commerce-Raum auf Sicherheitsbedrohungen überwacht, erkannte 1904 verschiedene Magento-Geschäfte mit einem einzigartigen Keylogger (Skimmer) auf der Kassenseite.

Diese automatisierte Kampagne ist bei weitem die größte, die Sansec seit Beginn der Überwachung im Jahr 2015 identifiziert hat. Der vorherige Rekord lag bei 962 gehackten Geschäften an einem einzigen Tag im Juli letzten Jahres. Das massive Ausmaß des Vorfalls an diesem Wochenende verdeutlicht die zunehmende Raffinesse und Rentabilität des Web-Skimming. Kriminelle haben ihre Hackertätigkeit zunehmend automatisiert, um Web-Skimming-Programme in so vielen Geschäften wie möglich durchzuführen.

Sansec schätzt, dass am Wochenende Zehntausenden von Kunden ihre privaten Daten über einen der kompromittierten Läden gestohlen wurden. Viele geschädigte Geschäfte haben keine Vorgeschichte von Sicherheitsvorfällen.

Dies deutet darauf hin, dass eine neue Angriffsmethode verwendet wurde, um Server-(Schreib-)Zugriff auf all diese Geschäfte zu erhalten. Während Sansec den genauen Vektor noch untersucht, könnte diese Kampagne mit einem kürzlich erfolgten Magento 10day (Exploit) zusammenhängen, der vor einigen Wochen zum Verkauf angeboten wurde.

Der Benutzer z3r0day kündigte in einem Hacking-Forum an, eine Magento 1 „Remote Code Execution“-Exploit-Methode, einschließlich eines Anweisungsvideos, für $5000 zu verkaufen. Angeblich ist kein vorheriges Magento-Admin-Konto erforderlich. Der Verkäufer z3r0day betonte, dass – da Magento 1 End-Of-Life ist – von Adobe keine offiziellen Patches zur Behebung dieses Fehlers zur Verfügung gestellt werden, wodurch dieser Exploit für Ladenbesitzer, die die Legacy-Plattform nutzen, zusätzlichen Schaden anrichtet. Um das Geschäft zu versüßen, versprach z3r0day, nur 10 Kopien des gefährlichen Exploits zu verkaufen.

Laut Live-Daten von Sansec setzen heute noch rund 95.000 Onlineshops die veraltete Version Adobe Magento 1 ein. Sansec rät zur Verwendung eines Malware- und Schwachstellen-Scanners auf dem Server, wie z.B. eComscan von Sansec. Sansec empfiehlt außerdem, alternative Patch-Unterstützung für Magento 1 zu abonnieren, wie sie beispielsweise von Mage One angeboten wird.

Sansec führt eine forensische Untersuchung auf zwei kompromittierten Servern durch. Der/die Angreifer benutzte(n) die IPs 92.242.62.210 (US) und 91.121.94.121 (OVH, FR), um mit dem Magento Admin-Panel zu interagieren, und benutzte(n) die „Magento Connect“-Funktion, um verschiedene Dateien herunterzuladen und zu installieren, darunter eine Malware namens mysql.php. Diese Datei wurde automatisch gelöscht, nachdem der bösartige Code zu prototype.js hinzugefügt wurde.

ANZEIGE

So reagieren Sie auf die gestiegene Nachfrage von Online-Videos – Wichtige Erkenntnisse und Trends

Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.

Jakob Jung

Recent Posts

Threat Hunting – Informieren und abwehren

Threat Detection and Response (TDR) stärkt die Abwehrkräfte von Unternehmen. Dabei geht es darum, Angriffe…

14 Stunden ago

HP und Dell übertreffen die Erwartungen um dritten Quartal

Allerdings erzielt nur Dell ein Umsatzwachstum. Beide Unternehmen profitieren jedoch von einer hohen Nachfrage nach…

15 Stunden ago

Xiaomi meldet Gewinnanstieg von 19 Prozent

Der Umsatz klettert um 34,5 Prozent auf umgerechnet 9,24 Milliarden Euro. Die Smartphonesparte verbessert ihr…

17 Stunden ago

Nach US-Wahl: Facebook optimiert News Feed für „zuverlässige“ Nachrichten

CEO Mark Zuckerberg segnet eine Änderung des Algorithmus für den News Feed ab. Sie erhöht…

19 Stunden ago

Hacker setzen durchgesickerte Passwörter gegen Spotify-Konten ein

Eine Datenbank mit 380 Millionen Einträgen enthält auch gültige Anmeldedaten für den Streamingdienst. Spotify setzt…

21 Stunden ago

WAPDropper: Android-Malware abonniert Premium-Dienste

Betrüger nutzen den Umstand, das Geräte und Telefonanbieter den WAP-Standard immer noch unterstützen. Die Malware…

23 Stunden ago