Hundratals e-handelswebbplatser som kör en föråldrad och ostödd plattform har blivit utsatta för MageCart kreditkortsstöldattacker.
Sansec-forskare fann initialt XNUMX infektioner som inträffade samma dag, med samma skadliga program, även om en efterföljande analys visade att det slutliga antalet infekterade webbplatser var över XNUMX.
Sansec hävdade att angriparna använde den (nu nedlagda) domänen naturalfreshmalll.com för att ladda upp skadlig programvara till e-handelswebbplatser som kör Magento 1, Adobes e-handelsplattform med öppen källkod skriven i PHP. Magento 1 nådde slutet av sin livslängd den XNUMX juni XNUMX, vilket innebär att den inte längre får regelbundna säkerhets- och användbarhetsuppdateringar, vilket gör den till ett idealiskt mål för cyberbrottslingar.
Quickview sårbarhetsutnyttjande
Forskare tror att angriparna utnyttjade en berömd sårbarhet som hittats i Quickview-plugin, vilket gjorde det möjligt för dem att skapa ett Magento-administratörskonto med högsta behörighet.
Nästa steg var helt enkelt att injicera en kreditkortsskimmer, och en av de komprometterade webbplatserna såg angriparna injicera nitton olika bakdörrar, förmodligen för att testa vilken som fungerar bäst.
Domänen från vilken hotaktörerna laddade skadlig programvara är naturalfreshmallcom, som för närvarande är offline, och hotaktörernas syfte var att stjäla nätbutikskunders kreditkortsinformation. -rad vald.
Ägare av e-handelswebbplatser rekommenderas att uppgradera sina webbplatser till den senaste versionen av Magento för att säkerställa att de förblir säkra från dessa attacker.
MageCart är en term som används omväxlande mellan faktisk kreditkortskod och sviter som använder koden. Cybersäkerhetsforskare har identifierat "dussintals undergrupper" som använder dessa skimmers.
Förutom kreditkortsnummer vill MageCart-angripare också få leveransadresser, offrens fullständiga namn, telefonnummer, e-postadresser och all annan information som behövs för att göra en onlinebeställning.
Via: BleepingComputer