Overslaan en naar de inhoud gaan

Magento-webshops massaal gepakt door skimming-script

De vers ontdekte MagentoCore-malware heeft al 7339 webshops geïnfecteerd. Klanten van die online-winkels lopen bij aankopen het risico dat hun betaalinformatie wordt onderschept door cybercriminelen. Het gaat om 4.2 procent van alle webwinkels met Magento-shopsoftware wereldwijd, meldt de Nederlandse ontdekker.
online winkelen
© Pixabay CC0 Public Domain
Pixabay CC0 Public Domain

De omvangrijke cybercrimecampagne heeft via website-aanvallen de configuratie van Magento-webshops gewijzigd om eigen malafide code in te laden. Deze JavaScript-code draait op het in Rusland geregistreerde domein Magentocore, waarnaar de malware vervolgens is genoemd door ontdekker Willem de Groot. Hij heeft afgelopen week alarm geslagen over deze succesvolle skimmingsoperatie.

Sluwe skimmer

De security-onderzoeker en malwarejager spreekt zelf van de meest succesvolle skimmer tot op heden. In tegenstelling tot traditionele skimming van pin-automaten is er geen fysieke toegang nodig en valt er veel meer te automatiseren. De Groot heeft de werkwijze van de cybercriminelen ontrafelt en belicht dit in een uitgebreide blogpost. De bende achter MagentoCore heeft in het afgelopen halve jaar 7339 individuele webwinkels te grazen genomen.

Opvallend is dat de malware naast skimwerk ook aan 'omzetbescherming' doet: met eigen PHP-code verwijdert het concurrerende skimmers. Daarnaast zorgt MagentoCore ervoor dat beheerderswachtwoorden (en voor andere accounts, zoals bijvoorbeeld Backup) om de zoveel tijd opnieuw ingesteld worden, op het door de krakers ingestelde wachtwoord 'how1are2you3'.

Domein op zwarte lijst

Inmiddels heeft browsermaker Google het magentocore-domein opgenomen op de blacklist voor zijn webbrowser Chrome, meldt De Groot in een tweet. Dit voorkomt dat browser van webwinkelend publiek het skimmende script inladen. Het aantal infecties is hiermee drastisch gedaald. Serverside blokkeren kan nuttiger blijken, maar voor effectieve blokkering moet eerst de hele hack worden opgeschoond en daarmee admin-toegang voor de cybercriminelen worden uitgesloten. Het aantal gecompromitteerde Magento-sites staat nu op 5214 stuks, volgens de zoekoptie op broncodezoekmachine PublicWWW, waar Bleeping Computer al naar verwees.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in