近 2000 家 Magento 1 店遭到黑客攻击
2020年9月12日至13日,全球近2000家Magento 1店遭到黑客攻击,这是迄今为止规模更大的一次有记录的活动。这是一个典型的Magecart攻击:注入的恶意代码将截获不受怀疑的商店客户的付款信息。被检查的商店发现运行Magento版本1,该版本于去年6月宣布停止使用。
Sansec早期漏洞检测系统监控全球电子商务领域的安全威胁,检测到1904个不同的Magento商店,在结账页面上有一个独特的键盘记录(skimmer)。9月11日,有10家商店被感染,12日是1058家,13日是603家,14日是233家。
另请阅读:Adobe与Sansec合作,以提高Magento平台的安全性。
这项自动化活动是Sansec自2015年开始监测以来发现的更大规模的活动。此前的纪录是去年7月一天内有962家店铺被黑客入侵。本周末事件的规模之大说明了 *** 浏览的复杂性和盈利能力的提高。犯罪分子已经越来越自动化他们的黑客操作,以运行 *** 掠取计划在尽可能多的商店。
据Sansec估计,上周末,数万名顾客的私人信息通过其中一家受损商店被盗。
Magento exploit $ 5000
在此之前,许多受害商店没有发生过类似的安全事故。这表明攻击者使用了一种新的攻击 *** 来获得这些存储的服务器(写)访问权限。虽然我们仍在调查确切的原因,但这次活动可能与最近几周前上市的Magento 10天(漏洞利用)有关。
用户z3r0day在一个黑客论坛上宣布以5000美元的价格出售Magento 1“远程代码执行”攻击 *** ,包括指令视频。据称,不需要事先的Magento管理员帐户。z3r0day强调,由于Magento 1已经过时,Adobe不会提供官方补丁来修复这个漏洞,这使得这个漏洞对使用传统平台的店主造成了额外的伤害。
为了使交易更加顺利,z3r0day承诺只出售10份危险漏洞利用程序。
根据Sansec的实时数据,截至今天,仍有大约9.5 万家Magento 1商店仍在营业。
官方PCI要求在服务器上使用恶意软件和漏洞扫描程序,如Sansec的eComscan。Sansec还建议订阅替代的Magento 1补丁程序支持,例如Mage One提供的支持。
更新:攻击 ***
截至周一,Sansec正在对两台受感染的服务器进行调查。攻击者使用IP 92.242.62.210(美国)和91.121.94.121(OVH,FR)与Magento管理面板进行交互,并使用“Magento Connect”功能下载和安装各种文件,包括名为的恶意软件mysql.php。将恶意代码添加到后,该文件已自动删除prototype.js。
2020-09-14T09:57:06 92.242.62.210 GET /downloader/ HTTP/1.1
2020-09-14T09:57:09 92.242.62.210 POST /downloader/ HTTP/1.1
2020-09-14T09:57:09 92.242.62.210 GET /index.php/admin/?SID=XXXX HTTP/1.1
2020-09-14T09:57:10 92.242.62.210 GET /index.php/admin/dashboard/index/key/<hash>/ HTTP/1.1
2020-09-14T09:57:13 92.242.62.210 GET /index.php/admin/system_config/index/key/<hash>/ HTTP/1.1
2020-09-14T09:57:15 92.242.62.210 GET /index.php/admin/system_config/edit/section/dev/key/<hash>/ HTTP/1.1
2020-09-14T09:57:19 92.242.62.210 POST /index.php/admin/system_config/save/section/dev/key/<hash>/ HTTP/1.1
2020-09-14T09:57:20 92.242.62.210 GET /index.php/admin/system_config/edit/section/dev/key/<hash>/ HTTP/1.1
2020-09-14T09:57:22 92.242.62.210 GET /index.php/admin/import/index/key/<hash>/ HTTP/1.1
2020-09-14T09:57:25 92.242.62.210 POST /index.php/admin/import/validate/key/<hash>/ HTTP/1.1
2020-09-14T09:57:25 92.242.62.210 GET /downloader/ HTTP/1.1
2020-09-14T09:57:28 92.242.62.210 POST /downloader/index.php?A=connectInstallPackageUpload&maintenance=1&archive_type=0&backup_name= HTTP/1.1
2020-09-14T09:57:29 92.242.62.210 GET /downloader/index.php?A=cleanCache HTTP/1.1
2020-09-14T09:57:31 92.242.62.210 GET /mysql.php HTTP/1.1
WEB服务器的日志显示,周末有很多人试图安装文件,可能是为了安装改进版的skimmer。
撇渣器分析:mcdnn.net
对于受影响的Magento 1商店,已将加载的撇渣器添加到文件prototype.js中,这是标准Magento安装的一部分。
该//mcdnn.net/122002/assets/js/widget.js服务根据其包含在哪个页面上来提供动态内容。仅当从结帐页面中引用时,它才会提供恶意的按键记录日志代码:
实际付款将被泄露到莫斯科托管的站点https://imags.pw/502.jsp,该站点与mcdnn.net域在同一 *** 上。
稿件与封面来源:Sansec,译者:芋泥啵啵奶茶。
本文由 HackerNews.cc 翻译整理,
转载请注明“转自 HackerNews.cc ” 并附上原文链接。
“近 2000 家 Magento 1 店遭到黑客攻击” 的相关文章
“Hack DHS”漏洞猎人在国土安全部系统中发现 122 个安全漏洞
据美国国土安全部(DHS)近日透露,加入“Hack DHS”漏洞赏金项目(bug bounty program)的赏金猎人已经在国土安全部的外部系统中发现了122个安全漏洞,其中27个被评估为严重漏洞。 据悉,国土安全部已向450多名经审查的安全研究人员和道德黑客发放了总计125,600美元的奖金...
DLL 反制:安全研究人员提出阻止勒索软件加密文件的新策略
尽管恶意软件开发者擅长利用各种软硬件漏洞来达成目的,但他们散播的成品也并非毫无破绽。比如近日,安全研究人员 John Page(又名 hyp3rlinx)就介绍了一招反制勒索软件的新套路。由个人网站和 Twitter 账号上发布的内容可知,John Page 专精于找到恶意软件本身的漏洞,并于近日分...
去年恶意勒索资金中有 74% 流向了俄罗斯有关黑客手中
一项新研究表明,2021 年通过勒索软件攻击方式牟取的所有资金中有 74% 流向了俄罗斯有关的黑客手中。研究人员说,价值超过 4 亿美元的加密货币支付给了“极有可能与俄罗斯有关联”的团体。研究人员还称,大量基于加密货币的洗钱活动是通过俄罗斯加密公司进行。 这项研究是由 Chainalysi...
未打补丁的 Exchange 服务器遭 Hive 勒索攻击 逾期就公开数据
虽然在 2021 年微软就已针对 Hive 勒索软件发布 Exchange 服务器的安全补丁,并敦促企业及时进行部署,但是依然有一些组织并没有及时跟进。消息称这些尚未跟进的组织近日再次遭受了 Hive 勒索软件的攻击,被黑客获得了系统权限。 在攻击获得系统权限之后,该勒索软件就会通过 PowerSh...
Microsoft Defender 又一次误将 Google Chrome 更新视作可疑活动
近日,我们在 Twitter 和 Reddit 等平台上见到了不少系统管理员报告,可知问题主要集中在被 Microsoft Defender for Endpoint 安全防护软件标记为“可疑”的 Google Chrome 更新上。由于谷歌更新服务(GoogleUpdate.exe)没有给“goo...
YouTube上的 Valorant 骗局:RedLine 感染
Hackernews 编译,转载请注明出处: 韩国安全分析人士在YouTube上发现了一场恶意软件传播活动,攻击者使用Valorant当做诱饵,诱骗玩家下载RedLine——一个强大的信息窃取工具。 这种类型的滥用是相当普遍的,因为黑客发现绕过YouTube的新内容提交审核,或者在被举报和禁号时创...
评论列表
发表评论
