Aktuell sind wohl Tausende an Online-Shops, die mit dem E-Commerce-Programm Magento betrieben werden, kompromittiert. Angreifer nutzen injizierten Skimming-Code, um Kreditkarteninformationen abzugreifen und nach Moskau zu senden.
Anzeige
Der niederländische Sicherheitsforscher Willem de Groot ist auf diese Geschichte gestoßen und hat Ende August per Twitter auf das Thema aufmerksam gemacht.
https://t.co/LOlUG9WG7L skimmer planted on 7337 stores; removes competing skimmers; periodically resets admin passwords to "how1are2you3" https://t.co/vQpNYwVqx6
— Willem de Groot (@gwillem) August 30, 2018
Der Angriff einer einzelnen Gruppe läuft wohl schon seit sechs Monaten, wie de Groot hier schreibt. heise.de berichtet hier, dass sich unter den Online-Shops auch Betreiber aus dem Bereich 'millionenschwerer Großunternehmen' befinden.
Angriff auf das Magento-Control-Panel
Der Angriff verläuft immer nach dem gleichen Muster: Die Kriminellen versuchen Zugriff auf das Control-Panel der E-Commerce-Site zu bekommen. Dazu werden Brute-Force-Angriffe (automatisches Ausprobieren vieler Passwörter, manchmal sogar über Monate hinweg) auf die Administratorkonten gefahren. Hat man Zugriff auf das Control-Panel, wird ein Script in die Magento-Software eingefügt. Dieses zeichnet einfach alle Tastatureingaben der Shop-Besucher auf und versendet diese an einen unter "magentocore.net" registrierten Server in Moskau.
Anzeige
Schadsoftware mit Skimmer und Backdoor
Die Schadsoftware modifiziert auch den Cron-Job cron.php und fügt dort eine Backdoor ein. Dies ermöglicht den periodischen Download weiterer Schadsoftware. Nach deren Ausführung löscht sich die Schadsoftware selbst, um keine Spuren zu hinterlassen. Wird das infizierte Script in der Magento-Shop-Software entfernt, können die Kriminellen über die Hintertür in cron.php den Shop neu infizieren.
Google added magentocore[.]net to Chrome's blacklist, as shown by the plummeting infection rate. pic.twitter.com/CEXp64H1E0
— Willem de Groot (@gwillem) September 3, 2018
Laut obigem Tweet hat Google die Domain magentocore[.]net in seine Blacklist aufgenommen, so dass die Zahl der Infektionen zurück geht.
Was kann man tun?
Willem de Groot hat auf Github eine Liste von Domains veröffentlicht, die von Malware benutzt werden. In seinem englischsprachigen Beitrag hier gibt de Groot auch Hinweise, wie die Infektion erkannt und beseitigt werden kann. Bleeping Computer hat diesen Beitrag vor einer Woche zum Thema veröffentlicht. Wer das Ganze lieber auf Deutsch liest, sollte sich den heise.de-Beitrag ansehen. Dort hat die Redaktion das Thema umfassend aufbereitet.
Passend dazu fällt mir der gestrige PlusMinus-Beitrag ein, der mobiles Bezahlen per Smartwatch und Smartphone (mostly Android) propagiert. Der Beitrag ist in der Mediathek abrufbar. Da kann dann nix mehr schief gehen.
Anzeige
Google/Android oder anderen Smart-Phons, Bankdaten bzw. Kreditkartendaten anvertrauen geht gar nicht, da kann man sie ja gleich an die Haustür schreiben.
Bei der Sparda-Bank werden auch grade die Systeme für dieses Zeugs fit gemacht. Wie die die Sicherheit auf Android-Systemen gewährleisten wollen, ist mir ein Rätsel bei den Sicherheitsstrategien von Google/Android (ob Apple besser ist weis man auch nicht).
Und dann noch mit diesen Dingern bezahlen? Naja wir werden sehen wie das weiter geht.
Was die Shops angeht. Man kann ja leider nur bei wenigen auf Rechnung bestellen.