Tausende Magento-Shops kompromittiert

Aktuell sind wohl Tausende an Online-Shops, die mit dem E-Commerce-Programm Magento betrieben werden, kompromittiert. Angreifer nutzen injizierten Skimming-Code, um Kreditkarteninformationen abzugreifen und nach Moskau zu senden.


Anzeige

Der niederländische Sicherheitsforscher Willem de Groot ist auf diese Geschichte gestoßen und hat Ende August per Twitter auf das Thema aufmerksam gemacht.

Der Angriff einer einzelnen Gruppe läuft wohl schon seit sechs Monaten, wie de Groot hier schreibt. heise.de berichtet hier, dass sich unter den Online-Shops auch Betreiber aus dem Bereich 'millionenschwerer Großunternehmen' befinden.

Angriff auf das Magento-Control-Panel

Der Angriff verläuft immer nach dem gleichen Muster: Die Kriminellen versuchen Zugriff auf das Control-Panel der  E-Commerce-Site zu bekommen. Dazu werden Brute-Force-Angriffe (automatisches Ausprobieren vieler Passwörter, manchmal sogar über Monate hinweg) auf die Administratorkonten gefahren. Hat man Zugriff auf das Control-Panel, wird ein Script in die Magento-Software eingefügt. Dieses zeichnet einfach alle Tastatureingaben der Shop-Besucher auf und versendet diese an einen unter "magentocore.net" registrierten Server in Moskau.

Schadsoftware mit Skimmer und Backdoor

Die Schadsoftware modifiziert auch den Cron-Job cron.php und fügt dort eine Backdoor ein. Dies ermöglicht den periodischen Download weiterer Schadsoftware. Nach deren Ausführung löscht sich die Schadsoftware selbst, um keine Spuren zu hinterlassen. Wird das infizierte Script in der Magento-Shop-Software entfernt, können die Kriminellen über die Hintertür in cron.php den Shop neu infizieren.

Laut obigem Tweet hat Google die Domain magentocore[.]net in seine Blacklist aufgenommen, so dass die Zahl der Infektionen zurück geht.

Was kann man tun?

Willem de Groot hat auf Github eine Liste von Domains veröffentlicht, die von Malware benutzt werden. In seinem englischsprachigen Beitrag hier gibt de Groot auch Hinweise, wie die Infektion erkannt und beseitigt werden kann. Bleeping Computer hat diesen Beitrag vor einer Woche zum Thema veröffentlicht. Wer das Ganze lieber auf Deutsch liest, sollte sich den heise.de-Beitrag ansehen. Dort hat die Redaktion das Thema umfassend aufbereitet.


Anzeige

Passend dazu fällt mir der gestrige PlusMinus-Beitrag ein, der mobiles Bezahlen per Smartwatch und Smartphone (mostly Android) propagiert. Der Beitrag ist in der Mediathek abrufbar. Da kann dann nix mehr schief gehen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Tausende Magento-Shops kompromittiert

  1. Herr IngoW sagt:

    Google/Android oder anderen Smart-Phons, Bankdaten bzw. Kreditkartendaten anvertrauen geht gar nicht, da kann man sie ja gleich an die Haustür schreiben.

    Bei der Sparda-Bank werden auch grade die Systeme für dieses Zeugs fit gemacht. Wie die die Sicherheit auf Android-Systemen gewährleisten wollen, ist mir ein Rätsel bei den Sicherheitsstrategien von Google/Android (ob Apple besser ist weis man auch nicht).
    Und dann noch mit diesen Dingern bezahlen? Naja wir werden sehen wie das weiter geht.
    Was die Shops angeht. Man kann ja leider nur bei wenigen auf Rechnung bestellen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.