Web lokacije za e-trgovinu koje koriste Adobeov softver Magento 2 meta su tekuće kampanje koja je aktivna najmanje od januara 2023. godine.
Napadi, koje je Akamai nazvao Xurum , koriste sada zakrpljenu kritičnu sigurnosnu grešku (CVE-2022-24086, CVSS rezultat: 9,8) u Adobe Commerceu i Magento Open Source-u koji, ako se uspješno iskoristi, može dovesti do proizvoljnog izvršavanja koda.
“Izgleda da je haker zainteresovan za statistiku plaćanja iz narudžbi u žrtvinoj Magento prodavnici u poslednjih 10 dana”, rekli su istraživači Akamaija u analizi objavljenoj prošle nedjelje, pripisujući kampanju hakerima ruskog porekla.
Takođe je uočeno da su neke od web stranica zaražene jednostavnim skimerima zasnovanim na JavaScriptu koji su dizajnirani da prikupljaju informacije o kreditnoj kartici i prenose ih na udaljeni server. Tačan obim kampanje ostaje nejasan.
U lancima napada koje je kompanija uočila, CVE-2022-24086 je naoružan za početni pristup, nakon čega se iskorištava uporište za izvršavanje malicioznog PHP koda koji prikuplja informacije o hostu i ispušta web shell pod nazivom wso-ng koja se maskira kao Google Shopping Ads komponenta.
Ne samo da se backdoor web shell-a pokreće u memoriji, već se i aktivira samo kada haker pošalje kolačić “magemojo000” u HTTP zahtjevu, nakon čega se pristupa informacijama o načinima plaćanja prodajnog naloga u posljednjih 10 dana i eksfiltriraju iste.
Napadi kulminiraju stvaranjem lažnog administratorskog korisnika pod imenom “mageworx” (ili “mageplaza”) u onome što se čini namjernim pokušajem da se njihove akcije zakamufliraju kao benigne, jer se ova dva naziva odnose na popularne prodavnice proširenja Magento 2.
Za wso-ng se kaže da je evolucija WSO web shell-a, koja uključuje novu skrivenu stranicu za prijavu za krađu kredencijala koje su unijele žrtve. Dalje se integriše sa legitimnim alatima kao što su VirusTotal i SecurityTrails kako bi se prikupila IP reputacija zaražene mašine i dobili detalji o drugim domenima koji se nalaze na istom serveru.
Internetske stranice za kupovinu su godinama bile na meti klase napada poznatih kao Magecart u kojima se skimer kod ubacuje u stranice za naplatu s ciljem prikupljanja podataka o plaćanju koje su unijele žrtve.
“Hakeri su pokazali pedantan pristup, ciljajući na određene Magento 2 instance umjesto da neselektivno razbacuju svoje eksploatacije po internetu”, rekli su istraživači.
“Oni demonstriraju visok nivo stručnosti u Magentu i ulažu značajno vrijeme u razumijevanje njegovih unutrašnjih stvari, postavljanje infrastrukture napada i testiranje svojih eksploata na stvarnim ciljevima.”
U vezi s tim razvojem, Kaspersky je otkrio da hakeri sve više ciljaju na dugo zanemarene i manje web stranice s malo ili nimalo prometa, posebno WordPress stranice, za hostovanje stranica za krađu identiteta.
“Većinu vremena, phisheri koji hakuju WordPress web stranice to čine iskorišćavajući sigurnosne rupe”, kažu istraživačice sigurnosti Tatyana Machneva i Olga Svistunova. “Nakon uspješnog pokušaja eksploatacije, hakeri postavljaju WSO web shell i koriste ga za pristup kontrolnom panelu web stranice, zaobilazeći korak autentifikacije.”
Izvor: The Hacker News