È stato scoperto un nuovo trucco utilizzato dagli hacker per nascondere il loro codice malevolo progettato per reintrodurre l’infezione per rubare informazioni riservate dai siti di e-commerce online basati su Magento.
Quindi, se hai già ripulito il tuo sito Magento violato, ci sono buone probabilità che il tuo sito web stia ancora perdendo credenziali di accesso e dettagli della carta di credito dei tuoi clienti agli hacker.
Infatti oltre 250.000 negozi online utilizzano la piattaforma di e-commerce Magento open-source, che li rende un obiettivo allettante per gli hacker, pertanto la sicurezza dei dati e dei dati dei clienti è la cosa più importante.
La scoperta è stata fatta dai ricercatori di Sucuri, che in precedenza hanno avvistato diverse campagne di malware sempre su Magento.
Come funziona?
I criminali informatici utilizzano un metodo semplice ma efficace per garantire che il loro codice dannoso venga aggiunto a un sito Web compromesso, dopo che è stato rimosso.
Per raggiungere questo obiettivo, i criminali nascondono il loro codice “carta di credito rubatore reinfector” all’interno del file di configurazione di default (config.php) del sito Magento, che viene incluso nel index.php principale e carica con ogni visualizzazione di pagina, eventualmente reiniettando il codice stealer in più file del sito web.
Dato che il file config.php viene configurato automaticamente durante l’installazione di Magento CMS, non è consigliabile, per gli amministratori o i proprietari di siti Web, modificare direttamente il contenuto di questo file.
Ecco come agisce il codice Reinfector di Magento
In primis è importante dire che il codice del reinfector individuato dai ricercatori è stato scritto in modo che nessuno scanner di sicurezza possa facilmente identificarlo e rilevarlo, quindi non sembra “strano” ad un occhio inesperto.
Gli hacker hanno aggiunto 54 righe aggiuntive di codice nel file di configurazione predefinito.
Di seguito, vengono spiegate le modifiche scritte all’interno del file config.php di default.
Alla linea n. 27, gli autori degli attacchi impostano la funzione error_reporting () su false, nel tentativo di nascondere i messaggi di errore che potrebbero rivelare il percorso effettuato dal malware agli amministratori del sito.
Dalla linea n. Da 31 a 44, esiste una funzione chiamata patch (), che è stata programmata per aggiungere il codice dannoso per il furto di informazioni riservate in file Magento legittimi.
Questa funzione patch () utilizza 4 argomenti, i cui valori definiscono:
il percorso di una cartella
il nome di un file specifico che risiede in quel percorso deve essere infetto
la dimensione del file richiesta per verificare se è necessario reinfettare il file dato
un nuovo nome del file da creare
un URL remoto da cui il codice dannoso verrà scaricato in tempo reale e iniettato nel file di destinazione.
Dalla riga 50 alla 51, gli hacker hanno suddiviso in modo intelligente la funzione base64_decode () in più parti al fine di eludere il rilevamento dagli scanner di sicurezza.
La riga 52 include un valore codificato base64 che converte in “http://pastebin.com/raw/” dopo essere stato decodificato, usando la funzione definita nella riga 50-51.
I successivi quattro set di variabili dalla riga 54 alla 76 definiscono i quattro valori richiesti per passare argomenti alla funzione patch () menzionata sopra.
L’ultima riga di ogni set include un valore casuale di otto caratteri che è concatenato con la variabile di collegamento codificata nella riga 52, che alla fine genera l’URL finale da cui la funzione patch () scaricherà il codice malevolo ospitato sul sito Web di Pastebin remoto.
Dalla riga 78 alla 81, l’attacker esegue infine la funzione patch () quattro volte con valori diversi definiti nella riga 54-76 per reinfettare il sito Web con il ladro della carta di credito.
Come regola generale, su ogni installazione Magento in cui si sospetta un compromesso, il /includes/config.php dovrebbe essere verificato rapidamente.
Va notato che una tecnica simile può essere utilizzata anche contro siti Web basati su altre piattaforme di sistemi di gestione dei contenuti come Joomla e WordPress per nascondere il codice malevolo.
I consigli
Poiché gli hacker sfruttano principalmente vulnerabilità note per compromettere i siti Web, in primo luogo si consiglia sempre di mantenere aggiornati il software e i server del proprio sito Web con le ultime patch di sicurezza.
Inoltre è necessario dotarsi di strumenti di difesa efficaci, in grado di rilevare le minacce ed isolarle.
Contatta Tekapp per scoprire come difendere i dati dei tuoi clienti!
#sicurezza #tecnologia #tekapp #cybersecurity #sicurezzainformatica