Des centaines de sites Web de commerce électronique exécutant une plate-forme obsolète et non prise en charge ont été victimes d'attaques de vol de carte de crédit MageCart.
Les chercheurs de Sansec ont initialement trouvé XNUMX infections survenues le même jour, avec le même logiciel malveillant, bien qu'une analyse ultérieure ait établi le nombre final de sites Web infectés à plus de XNUMX.
Sansec a affirmé que les attaquants utilisaient le domaine naturalfreshmalll.com (aujourd'hui disparu) pour télécharger le logiciel malveillant sur des sites Web de commerce électronique exécutant Magento 1, la plate-forme de commerce électronique open source d'Adobe écrite en PHP. Magento 1 a atteint la fin de sa durée de vie le XNUMX juin XNUMX, ce qui signifie qu'il ne reçoit plus de mises à jour régulières de sécurité et de convivialité, ce qui en fait une cible idéale pour les cybercriminels.
Exploit de vulnérabilité Quickview
Les chercheurs pensent que les attaquants ont exploité une célèbre vulnérabilité trouvée dans le plugin Quickview, qui leur a permis de créer un compte administrateur Magento avec les privilèges les plus élevés.
L'étape suivante consistait simplement à injecter un skimmer de carte de crédit, et l'un des sites Web compromis a vu les attaquants injecter dix-neuf portes dérobées différentes, vraisemblablement pour tester laquelle fonctionne le mieux.
Le domaine à partir duquel les acteurs de la menace ont téléchargé le logiciel malveillant est naturalfreshmallcom, qui est actuellement hors ligne, et le but des acteurs de la menace était de voler les informations de carte de crédit des clients du service de boutique en ligne.-ligne choisie.
Il est conseillé aux propriétaires de sites de commerce électronique de mettre à niveau leurs sites vers la dernière version de Magento pour s'assurer qu'ils restent à l'abri de ces attaques.
MageCart est un terme utilisé de manière interchangeable entre le code d'écrémage de carte de crédit réel et les ensembles qui utilisent le code. Les spécialistes de la cybersécurité ont identifié "des dizaines de sous-groupes" utilisant ces skimmers.
En plus des numéros de carte de crédit, les attaquants MageCart veulent également obtenir les adresses de livraison, les noms complets des victimes, les numéros de téléphone, les adresses e-mail et toute autre information nécessaire pour passer une commande en ligne.
Via: BleepingComputer