Die Sicherheitsexperten von Sansec Securities berichten, dass fast zweitausend Onlineshops, die die E-Commerce-Plattform Adobe Magento 1 einsetzen, auf der ganzen Welt in der bisher größten dokumentierten Kampagne gehackt wurden. Der als „CardBleed“ bezeichnete Angriff war ein typischer Magecart-Angriff: Ein injizierter bösartiger Code würde die Zahlungsinformationen der Shopbesucher abfangen. In den untersuchten Geschäften lief Magento Version 1, das im vergangenen Juni als End-of-Life angekündigt wurde.
Das Sansec-Früherkennungssystem, das den globalen E-Commerce-Raum auf Sicherheitsbedrohungen überwacht, erkannte 1904 verschiedene Magento-Geschäfte mit einem einzigartigen Keylogger (Skimmer) auf der Kassenseite.
Diese automatisierte Kampagne ist bei weitem die größte, die Sansec seit Beginn der Überwachung im Jahr 2015 identifiziert hat. Der vorherige Rekord lag bei 962 gehackten Geschäften an einem einzigen Tag im Juli letzten Jahres. Das massive Ausmaß des Vorfalls an diesem Wochenende verdeutlicht die zunehmende Raffinesse und Rentabilität des Web-Skimming. Kriminelle haben ihre Hackertätigkeit zunehmend automatisiert, um Web-Skimming-Programme in so vielen Geschäften wie möglich durchzuführen.
Sansec schätzt, dass am Wochenende Zehntausenden von Kunden ihre privaten Daten über einen der kompromittierten Läden gestohlen wurden. Viele geschädigte Geschäfte haben keine Vorgeschichte von Sicherheitsvorfällen.
Dies deutet darauf hin, dass eine neue Angriffsmethode verwendet wurde, um Server-(Schreib-)Zugriff auf all diese Geschäfte zu erhalten. Während Sansec den genauen Vektor noch untersucht, könnte diese Kampagne mit einem kürzlich erfolgten Magento 10day (Exploit) zusammenhängen, der vor einigen Wochen zum Verkauf angeboten wurde.
Der Benutzer z3r0day kündigte in einem Hacking-Forum an, eine Magento 1 „Remote Code Execution“-Exploit-Methode, einschließlich eines Anweisungsvideos, für $5000 zu verkaufen. Angeblich ist kein vorheriges Magento-Admin-Konto erforderlich. Der Verkäufer z3r0day betonte, dass – da Magento 1 End-Of-Life ist – von Adobe keine offiziellen Patches zur Behebung dieses Fehlers zur Verfügung gestellt werden, wodurch dieser Exploit für Ladenbesitzer, die die Legacy-Plattform nutzen, zusätzlichen Schaden anrichtet. Um das Geschäft zu versüßen, versprach z3r0day, nur 10 Kopien des gefährlichen Exploits zu verkaufen.
Laut Live-Daten von Sansec setzen heute noch rund 95.000 Onlineshops die veraltete Version Adobe Magento 1 ein. Sansec rät zur Verwendung eines Malware- und Schwachstellen-Scanners auf dem Server, wie z.B. eComscan von Sansec. Sansec empfiehlt außerdem, alternative Patch-Unterstützung für Magento 1 zu abonnieren, wie sie beispielsweise von Mage One angeboten wird.
Sansec führt eine forensische Untersuchung auf zwei kompromittierten Servern durch. Der/die Angreifer benutzte(n) die IPs 92.242.62.210 (US) und 91.121.94.121 (OVH, FR), um mit dem Magento Admin-Panel zu interagieren, und benutzte(n) die „Magento Connect“-Funktion, um verschiedene Dateien herunterzuladen und zu installieren, darunter eine Malware namens mysql.php. Diese Datei wurde automatisch gelöscht, nachdem der bösartige Code zu prototype.js hinzugefügt wurde.
Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…