Magento-webwinkels bij grootschalige aanval besmet met malware

[Captain Kirk]

Bij een grootschalige aanval op Magento-webwinkels zijn dit weekend bijna tweeduizend webshops van malware voorzien die creditcard- en persoonsgegevens van klanten steelt. Het grootste deel van de getroffen webwinkels draait op Magento versie 1, die sinds juni end-of-life is en niet meer met beveiligingsupdates wordt ondersteund. Dat meldt beveiligingsonderzoeker Willem de Groot van securitybedrijf Sansec.

Veel van de webwinkels hadden geen verleden als het om beveiligingsincidenten gaat, aldus De Groot. "Dit suggereert een nieuwe aanvalsmethode om toegang tot deze winkels te krijgen." De exacte aanvalsvector wordt nog onderzocht, maar de onderzoeker sluit niet uit dat er gebruik is gemaakt van een zeroday-exploit voor Magento 1 die onlangs op internet te koop werd aangeboden.

Wereldwijd zouden nog zo'n 95.000 webwinkels op Magento 1 draaien. Bij de nu waargenomen aanvallen installeren de aanvallers een webshell en krijgen zo volledige toegang tot de webshop. Vervolgens wordt er malware aan de bestelpagina van de gecompromitteerde winkels toegevoegd. Zodra klanten afrekenen worden hun gegevens onderschept en naar de aanvallers teruggestuurd. De Groot schat dat op deze manier de gegevens van duizenden klanten in handen van criminelen zijn gekomen.

 

bron: security.nl