Negozi Magento presi di mira da una massiccia ondata di attacchi TrojanOrders
Pubblicato da Angelo Domeneghini in Adware - Malware - Phishing - Ransomware - Spoofing - Trojan · 17 Novembre 2022
Tags: #sicurezza, #magento, #trojan, #bug
Tags: #sicurezza, #magento, #trojan, #bug
Negozi Magento presi di mira da una massiccia ondata di attacchi TrojanOrders
Magento
Almeno sette gruppi di hacker sono alla base di una massiccia ondata di attacchi "TrojanOrders" che prendono di mira i siti Web Magento 2, sfruttando una vulnerabilità che consente agli attori delle minacce di compromettere i server vulnerabili.
La società di sicurezza dei siti Web Sansec ha avvertito che quasi il 40% dei siti Web Magento 2 è preso di mira dagli attacchi, con gruppi di hacker che si combattono tra loro per il controllo di un sito infetto.
Questi attacchi vengono utilizzati per iniettare codice JavaScript dannoso nel sito Web di un negozio online che può causare interruzioni significative dell'attività e un massiccio furto di carte di credito ai clienti durante un intenso periodo di Black Friday e Cyber Monday.
La tendenza dovrebbe continuare mentre ci dirigiamo verso il Natale, quando i negozi online sono nel momento più critico e allo stesso tempo più vulnerabile.
I TrojanOrder attaccano
TrojanOrders è il nome di un attacco che sfrutta la vulnerabilità critica di Magento 2 CVE-2022-24086, consentendo ad aggressori non autenticati di eseguire codice e iniettare RAT (trojan di accesso remoto) su siti Web privi di patch.
Adobe ha corretto CVE-2022-24086 nel febbraio 2022, ma Sansec afferma che molti siti Magento devono ancora essere aggiornati.
"Sansec stima che almeno un terzo di tutti i negozi Magento e Adobe Commerce non sia stato ancora aggiornato", spiega un nuovo rapporto della società di sicurezza informatica SanSec.
Quando conducono attacchi TrojanOrders, gli hacker in genere creano un account sul sito Web di destinazione ed effettuano un ordine che contiene codice modello dannoso nel nome, nell'IVA o in altri campi.
Ad esempio, l'attacco sopra inietterà una copia del file "health_check.php" nel sito, contenente una backdoor PHP in grado di eseguire comandi inviati tramite richieste POST.
Dopo aver preso piede sul sito Web, gli aggressori installano un trojan di accesso remoto per stabilire un accesso permanente e la possibilità di eseguire azioni più complesse.
In molti casi osservati da Sansec, gli aggressori hanno scansionato la presenza di "health_check.php" al momento della compromissione per determinare se un altro hacker aveva già infettato il sito e, in tal caso, sostituire il file con la propria backdoor.
Gli aggressori alla fine modificano il sito per includere JavaScript dannoso che ruba le informazioni dei clienti e i numeri di carta di credito quando acquistano prodotti nel negozio.
Perché c'è un'impennata dopo così tanto tempo?
Gli analisti di Sansec ritengono che ci siano diversi motivi per cui stiamo assistendo a un aumento degli attacchi mirati a questa vulnerabilità.
Innanzitutto, un gran numero di siti Magento 2 rimane vulnerabile a questi attacchi, anche dieci mesi dopo che le patch sono diventate disponibili.
In secondo luogo, gli exploit PoC (proof of concept) sono disponibili da molto tempo, consentendo agli autori di exploit kit di incorporarli nei loro strumenti e trarne profitto vendendoli a hacker poco qualificati.
Questi exploit Magento sono così abbondanti che vengono venduti a partire da $ 2.500, mentre all'inizio del 2022 costano tra $ 20.000 e $ 30.000.
Infine, il tempismo è ideale per questi attacchi, poiché i siti Web registrano un aumento del traffico a causa delle festività natalizie, il che significa che è più probabile che gli ordini dannosi e le iniezioni di codice vengano trascurati.
Come proteggere il tuo sito (e i clienti)
Se non hai applicato l'aggiornamento per la sicurezza che affronta CVE-2022-24086, dovresti farlo il prima possibile.
Inoltre, esamina gli ordini per trovare segni di un attacco TrojanOrder, come il codice del modello nei moduli d'ordine o gli ordini inviati da account di posta elettronica anonimi utilizzando Protonmail, Tutanota, ecc.
Infine, utilizza uno scanner di malware di back-end per scoprire potenziali infezioni passate che hanno provocato iniezioni di RAT sul tuo sito.
Sansec afferma che lo strumento ufficiale di Magento, Security Scan, pulisce solo il front-end, quindi non può catturare TrojanOrders.
Per questo motivo, l'azienda di sicurezza offre un mese di accesso gratuito al proprio scanner per aiutare gli amministratori a pulire i propri siti.
Ricorda, il rilevamento e la rimozione di malware e backdoor PHP fermeranno le infezioni future solo se verranno applicate le patch di Magento 2, quindi questo è ancora il passaggio più cruciale da compiere.