Notícias de dispositivos móveis, gadgets, aplicativos Android

Hackers injetaram skimmers de cartão de crédito em 500 lojas que usam Magento

Em 25 de janeiro, a Sansec postou um tweet informando que quase 300 lojas de comércio eletrônico estavam infectadas com malware. Sansec detectou uma enorme violação de dados em 500 lojas que rodavam em Magento 1. Magento é uma plataforma de comércio eletrônico de código aberto fornecida pela Adobe.

Todas as lojas foram afetadas por um skimmer de pagamento que lhes foi carregado de naturalfreshmall. com. Durante a primeira investigação, os investigadores descobriram que os hackers usaram uma combinação inteligente de ataque SQL Injection e PHP Object Injection para controlar as lojas Magento.

Ataque POI em Zend_Memory_Manager

Investigações adicionais revelado que uma vulnerabilidade conhecida no plugin Quickview foi usada para abusar dos sistemas que normalmente são usados ​​para injetar usuários administradores desonestos do Magento. Mas, neste caso, os invasores usaram essa vulnerabilidade para executar código diretamente no servidor. Uma explicação clara foi dada pela Sansec sobre como isso foi possível.

Inicialmente, os invasores usaram a vulnerabilidade do plugin Quickview para adicionar uma regra de validação ao cliente_eav_attribute mesa

45.72.31.112 2022-01-28T15:11:59Z “GET /quickview/index/view/path/’);UPDATE%20customer_eav_attribute%20SET%20validate_rules=UNHEX(‘613a…d7d’)%20WHERE%20validate_rules=’a:2:%7Bs:15:%22max_text_length%22;i:255;s:15:%22min_text_length%22;i:1;%7D’; http/1.1”

A injeção de objeto PHP é usada para criar um objeto malicioso pelo aplicativo host. Neste ataque, Zend_Memory_Manager e Zend_CodeGenerator_Php_File são usados ​​para criar um arquivo chamado api_1.php seguido por um backdoor simples avaliação($_POST[‘z’]).

Inscrever-se ativa o ataque

Para executar o código, o Magento precisa desserializar o código. Os invasores conseguiram isso usando as regras de validação definidas para novos clientes. Ao usar a página de inscrição do Magento, o invasor desserializa os dados que fazem o código ser executado.

45.72.31.112 2022-01-28T15:12:02Z “OBTER /cliente/conta/criar/ HTTP/1.1”

45.72.31.112 2022-01-28T15:12:08Z “OBTER /api_1.php HTTP/1.1”

Nós recomendamos:  Os usuários da Comcast obtêm canais de streaming gratuitos do Xumo no X1 Streaming Box

O api_1.php controlado pelo invasor agora é capaz de executar qualquer código PHP.

Durante esses ataques, o invasor deixou quase 19 backdoors no sistema que precisam ser eliminados para evitar ataques futuros. Muitos arquivos consistiam no código malicioso Magento.

Sansec também postou uma lista de IPs que foram implicados durante o ataque

132.255.135.230 US 52485 redesdelmanana.com
132.255.135.51 US 52485 redesdelmanana.com
138.36.92.216 US 265645 HOSTINGFOREX SA
138.36.92.253 US 265645 HOSTINGFOREX SA
138.36.93.206 US 265645 HOSTINGFOREX SA
138.36.94.2 US 265645 HOSTINGFOREX SA
138.36.94.224 US 265645 HOSTINGFOREX SA
138.36.94.241 US 265645 HOSTINGFOREX SA
138.36.94.59 US 265645 HOSTINGFOREX SA
138.94.216.131 US 263744 Udasha SA
138.94.216.172 US 263744 Udasha SA
138.94.216.186 US 263744 Udasha SA
138.94.216.230 US 263744 Udasha SA
141.193.20.147 US 64249 ENDOFFICE
144.168.218.117 US 55286 SERVER-MANIA
144.168.218.136 US 55286 SERVER-MANIA
144.168.218.249 US 55286 SERVER-MANIA
144.168.218.70 US 55286 SERVER-MANIA
144.168.218.94 US 55286 SERVER-MANIA
144.168.221.92 US 55286 SERVER-MANIA
186.179.14.102 US 52393 Corporação Dana SA
186.179.14.134 US 52393 Corporação Dana SA
186.179.14.179 US 52393 Corporação Dana SA
186.179.14.204 US 52393 Corporação Dana SA
186.179.14.44 US 52393 Corporação Dana SA
186.179.14.76 US 52393 Corporação Dana SA
186.179.14.97 US 52393 Corporação Dana SA
186.179.39.183 US 52393 Corporação Dana SA
186.179.39.226 US 52393 Corporação Dana SA
186.179.39.35 US 52393 Corporação Dana SA
186.179.39.7 US 52393 Corporação Dana SA
186.179.39.74 US 52393 Corporação Dana SA
186.179.47.205 US 52393 Corporação Dana SA
186.179.47.39 US 52393 Corporação Dana SA
191.102.149.106 US 394474 WHITELABELCOLO393
191.102.149.197 US 394474 WHITELABELCOLO393
191.102.149.253 US 394474 WHITELABELCOLO393
191.102.163.202 US 394474 WHITELABELCOLO393
191.102.163.208 US 394474 WHITELABELCOLO393
191.102.163.7 EUA 394474 BRANCO RÓTULO COLO393
191.102.163.74 US 394474 WHITELABELCOLO393
191.102.170.173 US 394474 WHITELABELCOLO393
191.102.170.81 US 394474 WHITELABELCOLO393
191.102.174.128 US 394474 WHITELABELCOLO393
191.102.174.211 US 394474 WHITELABELCOLO393
191.102.174.239 US 394474 WHITELABELCOLO393
191.102.174.247 US 394474 WHITELABELCOLO393
191.102.174.52 US 394474 WHITELABELCOLO393
191.102.179.22 US 394474 WHITELABELCOLO393
191.102.179.31 US 394474 WHITELABELCOLO393
191.102.179.62 US 394474 WHITELABELCOLO393
192.198.123.164 US 55286 SERVER-MANIA
192.198.123.225 US 55286 SERVER-MANIA
192.198.123.226 US 55286 SERVER-MANIA
192.198.123.43 US 55286 SERVER-MANIA
192.241.67.128 US 55286 SERVER-MANIA
193,32.8.1 EUA 201814 Meverywhere sp. z oo
193,32.8.33 US 201814 Meverywhere sp. z oo
193,32.8.63 US 201814 Meverywhere sp. z oo
193,32.8.76 US 201814 Meverywhere sp. z oo
193.8.238.91 US 60781 LeaseWeb Holanda BV
195.123.246.212 CZ 204957 ITL-Bulgária Ltd.
198.245.77.132 EUA 55081 24 CONCHAS
198.245.77.217 EUA 55081 24 CONCHAS
198.245.77.253 EUA 55081 24 CONCHAS
206.127.242.99 EUA 201106 Spartan Host Ltd
209.127.104.174 US 55286 SERVER-MANIA
209.127.105.225 US 55286 SERVER-MANIA
209.127.105.73 US 55286 SERVER-MANIA
209.127.106.211 US 55286 SERVER-MANIA
209.127.106.44 US 55286 SERVER-MANIA
209.127.107.141 US 55286 SERVER-MANIA
209.127.107.169 US 55286 SERVER-MANIA
209.127.107.187 US 55286 SERVER-MANIA
209.127.109.138 US 55286 SERVER-MANIA
209.127.109.225 US 55286 SERVER-MANIA
209.127.109.87 US 55286 SERVER-MANIA
209.127.110.144 US 55286 SERVER-MANIA
209.127.110.177 US 55286 SERVER-MANIA
209.127.111.68 US 55286 SERVER-MANIA
209.127.111.99 US 55286 SERVER-MANIA
209.127.116.101 US 55286 SERVER-MANIA
209.127.116.167 US 55286 SERVER-MANIA
209.127.116.231 US 55286 SERVER-MANIA
209.127.117.214 US 55286 SERVER-MANIA
209.127.117.49 US 55286 SERVER-MANIA
209.127.118.136 US 55286 SERVER-MANIA
209.127.118.96 US 55286 SERVER-MANIA
209.127.172.15 EUA 55081 24 CONCHAS
209.127.172.60 EUA 55081 24 CONCHAS
209.127.172.99 EUA 55081 24 CONCHAS
209.127.173.13 EUA 55081 24 CONCHAS
209.127.173.154 US 55081 24 CONCHAS
209.127.173.215 EUA 55081 24 CONCHAS
209.127.174.177 EUA 55081 24 CONCHAS
209.127.175.113 EUA 55081 24 CONCHAS
209.127.97.6 US 55286 SERVIDOR-MANIA
209.127.98.244 US 55286 SERVER-MANIA
209.127.98.81 US 55286 SERVER-MANIA
209.127.98.91 US 55286 SERVER-MANIA
209.127.99.16 US 55286 SERVER-MANIA
209.127.99.205 US 55286 SERVER-MANIA
217.170.207.111 NO 34989 ServeTheWorld AS
23.106.125.64 SG 59253 Leaseweb Ásia-Pacífico pte. Ltd.
45.72.112.143 US 55081 24 CONCHAS
45.72.18.133 US 55081 24 CONCHAS
45.72.18.234 US 55081 24 CONCHAS
45.72.18.236 US 55081 24 CONCHAS
45.72.31.112 US 55081 24SHELLS
45.72.85.178 US 55081 24 CONCHAS
45.72.86.142 US 55081 24 CONCHAS
45.72.86.201 EUA 55081 24 CONCHAS

Nós recomendamos:  Hackers sequestrando servidores Microsoft SQL para comprometer ambientes Azure

Diz-se que a Adobe interrompeu suas atualizações e patches no Magento 1 mas ainda assim muitas das plataformas de comércio eletrônico dependem dele. Portanto, é recomendado atualizar regularmente as versões do Magento a partir de patches externos.

Você pode nos seguir em Linkedin, Twitter, Facebook para atualizações diárias de segurança cibernética.