2.000 Magento Onlineshops gehackt

Die Sicherheitsexperten von Sansec Securities berichten, dass fast zweitausend Onlineshops, die die E-Commerce-Plattform Adobe Magento 1 einsetzen, auf der ganzen Welt in der bisher größten dokumentierten Kampagne gehackt wurden. Der als „CardBleed“ bezeichnete Angriff war ein typischer Magecart-Angriff: Ein injizierter bösartiger Code würde die Zahlungsinformationen der Shopbesucher abfangen. In den untersuchten Geschäften lief Magento Version 1, das im vergangenen Juni als End-of-Life angekündigt wurde.

Das Sansec-Früherkennungssystem, das den globalen E-Commerce-Raum auf Sicherheitsbedrohungen überwacht, erkannte 1904 verschiedene Magento-Geschäfte mit einem einzigartigen Keylogger (Skimmer) auf der Kassenseite.

Diese automatisierte Kampagne ist bei weitem die größte, die Sansec seit Beginn der Überwachung im Jahr 2015 identifiziert hat. Der vorherige Rekord lag bei 962 gehackten Geschäften an einem einzigen Tag im Juli letzten Jahres. Das massive Ausmaß des Vorfalls an diesem Wochenende verdeutlicht die zunehmende Raffinesse und Rentabilität des Web-Skimming. Kriminelle haben ihre Hackertätigkeit zunehmend automatisiert, um Web-Skimming-Programme in so vielen Geschäften wie möglich durchzuführen.

Sansec schätzt, dass am Wochenende Zehntausenden von Kunden ihre privaten Daten über einen der kompromittierten Läden gestohlen wurden. Viele geschädigte Geschäfte haben keine Vorgeschichte von Sicherheitsvorfällen.

Dies deutet darauf hin, dass eine neue Angriffsmethode verwendet wurde, um Server-(Schreib-)Zugriff auf all diese Geschäfte zu erhalten. Während Sansec den genauen Vektor noch untersucht, könnte diese Kampagne mit einem kürzlich erfolgten Magento 10day (Exploit) zusammenhängen, der vor einigen Wochen zum Verkauf angeboten wurde.

Der Benutzer z3r0day kündigte in einem Hacking-Forum an, eine Magento 1 „Remote Code Execution“-Exploit-Methode, einschließlich eines Anweisungsvideos, für $5000 zu verkaufen. Angeblich ist kein vorheriges Magento-Admin-Konto erforderlich. Der Verkäufer z3r0day betonte, dass – da Magento 1 End-Of-Life ist – von Adobe keine offiziellen Patches zur Behebung dieses Fehlers zur Verfügung gestellt werden, wodurch dieser Exploit für Ladenbesitzer, die die Legacy-Plattform nutzen, zusätzlichen Schaden anrichtet. Um das Geschäft zu versüßen, versprach z3r0day, nur 10 Kopien des gefährlichen Exploits zu verkaufen.

Laut Live-Daten von Sansec setzen heute noch rund 95.000 Onlineshops die veraltete Version Adobe Magento 1 ein. Sansec rät zur Verwendung eines Malware- und Schwachstellen-Scanners auf dem Server, wie z.B. eComscan von Sansec. Sansec empfiehlt außerdem, alternative Patch-Unterstützung für Magento 1 zu abonnieren, wie sie beispielsweise von Mage One angeboten wird.

Sansec führt eine forensische Untersuchung auf zwei kompromittierten Servern durch. Der/die Angreifer benutzte(n) die IPs 92.242.62.210 (US) und 91.121.94.121 (OVH, FR), um mit dem Magento Admin-Panel zu interagieren, und benutzte(n) die „Magento Connect“-Funktion, um verschiedene Dateien herunterzuladen und zu installieren, darunter eine Malware namens mysql.php. Diese Datei wurde automatisch gelöscht, nachdem der bösartige Code zu prototype.js hinzugefügt wurde.

ANZEIGE

So reagieren Sie auf die gestiegene Nachfrage von Online-Videos – Wichtige Erkenntnisse und Trends

Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago