上周末,全球近2000家Magento 1门店遭到黑客攻击,这是迄今为止记录在案的最大规模的黑客行动。这是一个典型的Magecart攻击:注入的恶意代码会截获未被怀疑的商店客户的支付信息。被检查的商店被发现运行Magento版本1,该版本于去年6月宣布停产。
SansEC早期漏洞检测系统监控全球电子商务空间的安全威胁,在结账页面上使用独特的键盘记录器(Skimmer)检测到1904家不同的Magento商店。周五,有10家商店受到感染,然后是周六的1058家,周日的603家,以及今天的233家。
这场自动化活动是SansEC自2015年开始监测以来确定的最大规模的活动。此前的纪录是去年7月单日遭黑客攻击的门店数量为962家。本周末事件的巨大规模表明,网络浏览的复杂性和盈利能力都在不断提高。犯罪分子越来越多地将他们的黑客操作自动化,以便在尽可能多的商店上运行网络浏览计划。
SansEC估计,上周末有数万名顾客的私人信息通过其中一家被泄露的商店被盗。
许多受害商店以前没有安全事件的历史。这表明使用了一种新的攻击方法来获得对所有这些存储的服务器(写入)访问权限。虽然我们仍在调查确切的媒介,这场战役可能与最近的Magento 10天(漏洞)有关,该漏洞是几周前挂牌出售的。
用户z3r0day在黑客论坛上宣布以5000美元的价格出售Magento 1“远程代码执行”攻击方法,包括说明视频。据称,不需要之前的Magento管理员帐户。卖家z3r0day强调,由于Magento 1已经停产,Adobe将不会提供官方补丁来修复此漏洞,这将使此漏洞对使用传统平台的店主造成额外的损害。
为了增加交易的甜头,z3r0day承诺只卖出10份危险的漏洞。从俄语翻译过来:
根据SansEC的实时数据,截至今天,约有9.5万家Magento 1门店仍在运营。
PCI的官方要求是在服务器上使用恶意软件漏洞扫描程序,如SansEC的eComscan。SansEC还建议订阅替代Magento 1补丁支持,例如由Mage One提供的支持。
截至周一,SansEC正在对两台受损的服务器进行法医调查。攻击者使用IP 92.242.62.210(US)和91.121.94.121(OVH,FR)与Magento管理面板交互,并使用“Magento连接”功能下载和安装各种文件,包括名为mysql.php的恶意软件。将恶意代码添加到protocol type.js后,此文件被自动删除。
2020-09-14T09:57:06 92.242.62.210 Get/Downloader/Http/1.12020-09-14T09:57:09 92.242.62.210 POST/Downloader/Http/1.12020-09-14T09:57:09 92.242.62.210 Get/index.php/ADMIN/?SID=XXXX HTTP/1.12020-09-14T09:57:10 92.242.62.210 GET/index.php/admin/dashboard/index/key/<;hash>;/HTTP/1.12020-09-14T09:57:13 92.242.62.210获取/index.php/admin/system_config/index/key/<;hash>;/http/1.12020-09-14T09:57:15 92.242.62.210获取/index.php/admin/system_config/edit/section/dev/key/<;hash>;/HTTP/1.12020-09-14T09:57:19 92.242.62.210 POST/index.php/admin/system_config/save/section/dev/key/<;hash>;/http/1.12020-09-14T09:57:20 92.242.62.210获取/index.php/admin/system_config/edit/section/dev/key/<;hash>;/HTTP/1.12020-09-14T09:57:22 92.242.62.210获取/index.php/admin/import/index/key/<;hash>;/http/1.12020-09-14T09:57:25 92.242.62.210 POST/index.php/admin/import/validate/key/<;hash>;/Http/1.12020-09-14T09:57:25 92.242.62.210 Get/Downloader/Http/1.12020-09-14T09:57:28 92.242.62.210 POST/downloader/index.php?A=connectInstallPackageUpload&;maintenance=1&;archive_type=0&;backup_name=Http/1.12020-09-14T09:57:29 92.242.62.210 Get/Downloader/index.php?A=CleanCache HTTP/1.12020-09-14T09:57:31 92.242.62.210 GET/mysql.php HTTP/1.1.。
网络服务器日志显示,周末期间曾多次尝试安装文件,可能是为了安装改进版本的Skimmer。
对于受影响的Magento 1商店,加载的撇油器被添加到文件prototype.js中,该文件是标准Magento安装的一部分。
Net/122002/Assets/js/widget.js提供动态内容,具体取决于它包含在哪个页面上。仅当从结帐页面引用时,它才会提供恶意的击键日志记录代码:
实际付款正在渗入莫斯科托管的https://imags.pw/502.jsp,网站,该网站与mcdn.net域位于同一网络上。
执法部门可以获得受威胁商店的完整名单,请联系SansEC。