04.09.2018

Magento Shops derzeit durch Malware-Angriffe gefährdet

Über 7000 Shops des Softwareanbieters Magento sehen sich aktuell einem enormen Sicherheitsrisiko durch Malware ausgesetzt. Dabei handelt es sich um Skimming Schadware, die sensible Kundendaten direkt an einen Server in Moskau umleitet. Betroffen sind vor allem die Shops mit einer veralteten Magento Version.

Malware Großangriff ist keine Sicherheitslücke
Ende August waren über 7000 Shops betroffen. Die Malware basiert auf einem Code, der die Bezahldaten aller Kunden an einen in Moskau stationierten Server leitet. Seit der Bekanntgabe der Problematik sind Administratoren täglich mit der Entfernung der Schadware beschäftigt. Ebenfalls täglich werden aber auch rund 50 bis 60 Magento Shops neu infiziert. Wilhelm de Groot entdeckte das Problem und weist darauf hin, dass es sich nicht um eine Sicherheitslücke sondern um einen Brute Force Angriff handelt. Die Informationen über die Angriffe sind von Magento bestätigt und es heißt, dass alle identifizierten Bedrohungen ausschließlich bei älteren Versionen erkannt wurden.

Unterdessen ist der Code der Malware bekannt, so dass die Entfernung durch den Administrator umgehend erfolgen kann. Findet sich im Quellcode des Shops eine Zeile mit einer Verlinkung auf magentocore.net, ist der Shop mit der gefährlichen Malware infiziert. Die Hacker verwenden keine Sicherheitslücke, sondern arbeiten mit automatischen Skripten, um Passwörter und Kundenkonten zu durchdringen. Das heißt konkret, dass die Kombination aus Nutzername und Passwort automatisch so lange getestet wird, bis eine Übereinstimmung zur Verfügung über das Kundenkonto führt.

Malware läuft unbemerkt im Hintergrund mit
Dieser Code im HTML-Template zeichnet alle Eingaben der Nutzer auf und sendet sie an die im Code enthaltene Domain in Russland. Eine Extrahierung der Bankdaten erfolgt nach der Umleitung auf den russischen Server und wird durch ebenfalls im Code enthaltene „Hintertürchen“ untermauert. Selbst wenn der Code entdeckt wurde, können die wichtigen Daten durch die Hintertür neu identifiziert werden. Jeder Magento Nutzer, vor allem Shopbetreiber die ältere Versionen der Software nutzen, sollten ihr Template jetzt den aufgeführten Code prüfen und die gesamte Zeile entfernen. Fordern Sie desweiteren Ihre Kunden zur Änderung der Anmeldedaten und Passwörter auf. Magento empfiehlt die Codeprüfung und eine generelle Umrüstung auf die neueste Version.