Les analystes ont trouvé la source d’une violation massive de plus de 500 magasins de commerce électronique exécutant la plate-forme Magento 1 et implique un seul domaine chargeant un écumeur de carte de crédit sur chacun d’eux.
Selon Sansec, l’attaque est devenue évidente à la fin du mois dernier lorsque leur robot d’exploration a découvert 374 infections le même jour, toutes utilisant le même logiciel malveillant.
Le domaine à partir duquel les acteurs de la menace ont chargé le malware est naturalfreshmall[.]com, actuellement hors ligne, et l’objectif des acteurs de la menace était de voler les informations de carte de crédit des clients sur les magasins en ligne ciblés.
Planter des portes dérobées
L’enquête ultérieure de Sansec a révélé que les attaquants avaient abusé d’une vulnérabilité connue dans le plug-in Quickview pour injecter des utilisateurs administrateurs malhonnêtes de Magento qui pourraient ensuite exécuter du code avec les privilèges les plus élevés.
L’abus se produit via l’ajout d’une règle de validation dans la table customer_eav_attribute. Cela incite l’application hôte à créer un objet malveillant, qui est ensuite utilisé pour créer une simple porte dérobée (api_1.php).
Les règles de validation pour les nouveaux clients sont la partie intelligente de l’attaque, car cela déclenche l’injection de la charge utile dans la page d’inscription.
Source : Sansec
En plus d’injecter le skimmer de carte de crédit, les pirates peuvent également utiliser la porte dérobée api_1.php pour exécuter des commandes sur le serveur distant, conduisant à une prise de contrôle complète du site.
En pratique, cependant, siphonner les détails de paiement à l’aide d’attaques MageCart (écumeurs) est plus bénéfique pour les acteurs de la menace ; c’est pourquoi cette vague particulière d’attaques s’est concentrée précisément sur cela.
Sansec souligne que dans un cas extrême, les adversaires ont injecté jusqu’à 19 portes dérobées sur une seule plate-forme de commerce électronique, expérimentant éventuellement pour déterminer ce qui fonctionne le mieux pour leur objectif ou tout simplement en étant très sérieux quant à sa redondance.
Pas moins de 19 (!) portes dérobées ont été injectées dans un cas de hack de masse NaturalFreshMall Magento.
Assurez-vous de nettoyer votre système et de tous les tuer, sinon vous vous retrouverez bientôt à zéro.
Retrouvez notre analyse sur https://t.co/zsrqcaCNc2
— Sansec (@sansecio) 9 février 2022
Magento 1 est toujours utilisé
Adobe a cessé de prendre en charge la branche Magento 1 de la plate-forme de commerce électronique populaire depuis le 30 juin 2020, mais des milliers de sites utilisent toujours le logiciel obsolète.
Cela rend les sites vulnérables à un large éventail d’attaques de pirates et, par extension, met en danger les données sensibles de leurs clients.
Ces détails incluent généralement les numéros de carte de crédit, les adresses de livraison, les noms, les numéros de téléphone, les adresses e-mail et généralement tout ce qui est nécessaire pour passer une commande en ligne.
Il est fortement recommandé à tous les administrateurs Magento confirmer qu’ils utilisent la dernière version de la plate-forme et mise à niveau si vous utilisez des versions plus anciennes non prises en charge.