Durante il fine settimana, migliaia di store Magento sono stati violati nella più grande campagna osservata fino ad oggi dal 2015 in stile attacco Magecart: il codice dannoso iniettato avrebbe intercettato le informazioni di pagamento di clienti dell’e-commerce e gli attori delle minacce sono riusciti a compromettere oltre 1.000 negozi sabato, 600 domenica e oltre 200 lunedì.
Gli attacchi sono stati rilevati dagli esperti di sicurezza Sansec che, in un report dettagliato, sottolineano come la maggior parte dei siti colpiti dai cyber criminali utilizzino una vecchia versione di Magento. La maggior parte dei siti compromessi utilizzava infatti la versione Magento 1 ma, in alcuni casi, i negozi compromessi eseguivano Magento 2.
Il sistema di rilevamento delle violazioni anticipate di Sansec, che monitora lo spazio di e-commerce globale per le minacce alla sicurezza, ha rilevato 1904 negozi Magento distinti con un keylogger (skimmer) univoco nella pagina di pagamento. Venerdì 10 negozi sono stati infettati, poi 1058 sabato, 603 domenica e 233 oggi, si legge nel report.
Sansec sta conducendo un’indagine forense su due server compromessi: gli aggressori hanno utilizzato gli IP 92.242.62.210(USA) e 91.121.94.121(OVH, FR) per interagire con il pannello di amministrazione di Magento e hanno utilizzato la funzionalità “Magento Connect” per scaricare e installare vari file, incluso un malware chiamato mysql.php. che è stato eliminato automaticamente dopo che il codice dannoso è stato aggiunto a prototype.js.”.
L’ipotesi degli esperti è che gli attori malevoli stiano utilizzando un nuovo metodo di attacco per ottenere l’accesso del server a tutti questi archivi, sfruttando una recente vulnerabilità zero-day di Magento comparsa su un forum di hacking nei giorni scorsi al prezzo di 5.000 dollari.
La portata dell’incidente di questo fine settimana mostra una maggiore sofisticazione dello skimming web. I criminali automatizzano sempre più le loro operazioni di hacking per eseguire schemi di web skimming sul maggior numero possibile di negozi.
Sansec stima che durante il fine settimana a decine di migliaia di clienti siano state rubate le proprie informazioni private tramite uno dei negozi compromessi.
https://sansec.io/research/largest-magento-hack-to-date
