An einem Wochenende Mitte September konnten Hacker etwa 2.000 Webseiten mit einem Karten-Skimmer infizieren. Sie nutzten dabei eine Zero-Day-Schwachstelle in der Magento Software der ersten Generation aus. Die Version wird seit Juni dieses Jahres nicht mehr unterstützt.
Magento ist eine unter E-Commerce-Betreibern beliebte Plattform für das schnelle Aufsetzen eines Online-Shops auf Webseiten. Neben dem Verkauf von Produkten können auch Zahlungsmethoden mit Kreditkarten eingerichtet werden.
Von dem Magecart-Angriff betroffen waren insgesamt etwas über 1.900 eCommerce-Webseiten. Bösartiger Code, um Zahlungskartendaten zu protokollieren, war dabei installiert worden. Die meisten der gehackten Webseiten verwendeten noch die veraltete Magento Version 1. Der Angriff gefährdet die Kreditkarteninformationen von über 10.000 Online-Shoppern.
Die Magecart-Hacker hackten die eCommerce-Webseiten mit der alten Magento Version in einem automatisierten Angriffsschema. Sansec Threat Intelligence führte eine forensische Untersuchung des Angriffs durch. Die Experten fanden heraus, dass Online-Shops mit den Adobe Magento-Versionen 1 und 2 angegriffen wurden. Einstiegspunkte waren eine allgemein bekannte Schwachstelle oder gestohlene Zugangsdaten. Bei einer erfolgreichen Kompromittierung der Onlinehändler-Webseiten wurden Web-Skimmer eingeschleust. Skimmer können heimlich persönliche Daten und Zahlungsinformationen der Kunden herausfiltern.
Die Untersuchungen zum Magecart-Angriff ergaben, dass die Magento-Shops kassenseitig mit einem einzigartigen Keylogger infiziert wurde. Am 11. September wurden zunächst nur 10 Onlineshops infiziert und am anschließenden Wochenende dann 1.894 weitere Onlineshops. Die meisten Onlinehändler nutzten noch die veraltete Adobe Magento Version 1, für die im Juni dieses Jahres der Support auslief. Betroffen von dem Angriff waren aber auch einige wenige Onlineshops, die bereits die neuere Version Adobe Magento 2 verwendeten.
Magecart-Angriff zeitlich gut geplant
Die Sansec Forensiker gehen davon aus, dass die Hacker eine Zero-Day-Schwachstelle ausgenutzt hatten. Diese Schwachstelle war seit Längerem bekannt und der Grund dafür, dass die Version 1 mit der verbesserten Version 2 ersetzt wurde. Möglicherweise steht der Magcart-Angriff daher auch mit einem Magento-Exploit in Verbindung. Dieses war im August in Untergrundforen für 5.000 US-Dollar zum Verkauf angeboten worden. In ihrem Bericht schrieben die Sansec Forscher:
„Der Nutzer mit der Bezeichnung z3r0day kündigte auf einem Hacker-Forum an, eine Magento Version 1 Remote-Code-Ausführungsmethode einschließlich Anweisungsvideo für 5.000 US-Dollar verkaufen zu wollen. Der Verkäufer gab an, nur 10 Kopien des Exploits zu verkaufen.“
Der Exploit war ab 15. August erhältlich.
z3r0day war bekannt, dass die Adobe Magento Version 1 auslaufen und Adobe keine offiziellen Patches zur Behebung der Schwachstelle zur Verfügung stellen würde. Gleichzeitig konnte er davon ausgehen, dass nicht alle Magento-Shops die alte Version austauschen würden. Adobe hatte seine Kunden bereits seit November 2019 auf die neue Version aufmerksam gemacht. Sicherheitsexperten gehen davon aus, dass Hacker absichtlich ihre Magento 1.x-Exploits zurückhielten und den richtigen Zeitpunkt abwarteten. Nur 95.000 der ursprünglich 240.000 Adobe Magento 1 Nutzer hatten bis September auf die neue Version umgestellt.
Details zum Magecart-Hacker-Angriff
Die forensischen Untersuchungen Sansecs ergaben, dass bei Magento 1-Onlineshops ein Skimmer in die Datei „prototype.js“ injiziert wurde. Die wenigen betroffenen Magento 2-Onlineshops enthielten einen Skimmer in einer jquery.js-Datei, die im Magento 2-Basiscode versteckt war. Beides Mal wurde die gleiche Malware von einer bösartigen mcdnn.net-Domäne hochgeladen. Die Daten wurden dann auf die in Moskau gehostete Website https://imags.pw/502.jsp im gleichen Netzwerk wie die mcdnn.net-Domäne geladen. Laut den Sansec-Forensikern nutzten die Angreifer „die US-amerikanische IP 92.242.62.210, um mit dem Magento Admin-Panel zu interagieren.“ Weiter hieß es,
„Sie nutzten auch die Magento Connect-Funktion, um verschiedene Dateien herunterzuladen und zu installieren. Darunter befand sich auch eine Malware namens mysql.php. Diese Datei wurde automatisch gelöscht, nachdem der bösartige Code zu prototype.js hinzugefügt wurde.“
Die Mysql.php Backdoor ermöglichte dann den vollen Zugriff auf ein kompromittiertes Kundenkonto. Sie wurde nach dem Hochladen des bösartigen Codes wieder gelöscht.
Mit dem nun etablierten Zugang installierten die Hacker dann ein JavaScript, um böswilligen Kreditkarten-Diebstahlcode von mcdnn.net/122002/assets/js/widget.js zu laden, sobald sich ein Onlineshopper auf der Kassenseite befindet. Sind die Zahlungsinformationen erst einmal eingegeben, werden die Zahlungsdetails des Skripts gesammelt und vom Angreifer an die URL https://imags.pw/502.jsp gesendet. Bei der Adobe Magento Version 1 wurde das bösartige Skript prototype.js hinzugefügt. Bei Adobe Magento 2 wurde es zu einer jquery.js-Datei hinzugefügt, welche im Code versteckt war.
Maßnahmen gegen Magecart-Angriffe
Neben Adobe selbst hatte der Kreditkarten-Gigant VISA ebenfalls eine Empfehlung herausgegeben, die Onlinehändler dringend aufgeforderte, ihre E-Commerce-Seiten auf das sicherere Magento 2.x zu migrieren. Die Experten von Sansec haben sich erst kürzlich mit Adobe zusammengetan, um Signaturen für Schwachstellen bereitzustellen, die in das Magento Security Scan-Tool integriert werden können.
Adobe wird dem Magento Security Scan-Tool etwa 9.000 Signaturen für Malware und Schwachstellen hinzufügen. Jede dieser Signaturen musste zunächst einen mehrstufigen Test- und Validierungsprozess durchlaufen. Auch das Forschungsteam von Sanguine Security ist an diesem Projekt beteiligt. Es analysiert wöchentlich etwa 200 bis 300 bekannte E-Commerce-Angriffe. Ihre Erkenntnisse daraus geben allen Beteiligten einen guten Einblick in die aktuell möglichen Angriffsvektoren und -indikatoren, die auch kontinuierlich eingespeist werden. Dadurch kann Magento bestimmte HTML+JS-Angriffe in Echtzeit abschwächen, wenn Angriffe auftreten sollten.
Artikel von threatpost.com, 14.09.2020: Magecart Attack Impacts More Than 10K Online Shoppers
Artikel von bleepingcomputer.com, 14.09.2020: Magento stores hit by largest automated hacking attack since 2015
Artikel von zdnet.com, 14.09.2020: Magento online stores hacked in largest campaign to date
Beitragsbild: Public Domain, Creative Commons CC0, Elchinator auf pixabay.com