Τουλάχιστον επτά ομάδες hacking βρίσκονται πίσω από ένα τεράστιο κύμα επιθέσεων «TrojanOrders» που στοχεύουν ιστοσελίδες του Magento 2, εκμεταλλευόμενοι μια ευπάθεια που επιτρέπει στους απειλητικούς παράγοντες να παραβιάζουν ευάλωτους servers.
Δείτε επίσης: Ο leader της ομάδας hacking JabberZeus συνελήφθη στη Γενεύη
Δείτε επίσης: CommonSpirit Health: Η ransomware επίθεση πιθανότατα επηρεάζει εκατομμύρια Αμερικανούς
Ομάδες hacking στοχεύουν σχεδόν το 40% των ιστότοπων Magento 2, πολεμώντας μεταξύ τους για τον έλεγχο ενός μολυσμένου ιστότοπου, σύμφωνα με την εταιρεία ασφάλειας ιστότοπων Sansec.
Αυτού του είδους οι επιθέσεις μπορούν να εισάγουν επιβλαβή κώδικα JavaScript στον ιστότοπο ενός ηλεκτρονικού καταστήματος, κάτι που συμβαίνει συχνά κατά τη διάρκεια μιας πολυάσχολης Black Friday ή Cyber Monday. Αυτό μπορεί στη συνέχεια να οδηγήσει σε δαπανηρή διακοπή λειτουργίας της επιχείρησης και σε κλοπή πληροφοριών πιστωτικών καρτών πελατών σε μεγάλη κλίμακα.
Καθώς οι ηλεκτρονικές αγορές γίνονται όλο και πιο δημοφιλείς, αυξάνονται και οι κίνδυνοι που συνδέονται με αυτές. Οι δόλιες δραστηριότητες είναι πιθανό να κορυφωθούν κατά την περίοδο των Χριστουγέννων, όταν οι επιχειρήσεις ηλεκτρονικού εμπορίου δέχονται τη μεγαλύτερη πίεση.
Δείτε επίσης: Το ενημερωμένο RapperBot malware στοχεύει game servers σε επιθέσεις DDoS
Η επίθεση TrojanOrders
Η επίθεση TrojanOrders εκμεταλλεύεται το ελάττωμα ασφαλείας CVE-2022-24086 του Magento 2, επιτρέποντας σε μη εξουσιοδοτημένα άτομα να εκτελούν κώδικα και να εισάγουν RATs (remote access trojans) σε unpatched websites.
Παρόλο που η Adobe διόρθωσε το ελάττωμα ασφαλείας CVE-2022-24086 τον Φεβρουάριο, η Sansec αναφέρει ότι μέχρι και τώρα πολλά Magento sites δεν έχουν επιδιορθωθεί.
Στις επιθέσεις TrojanOrders, χάκερ συνήθως δημιουργούν έναν λογαριασμό στον ιστότοπο-στόχο και υποβάλλουν μια παραγγελία που περιέχει κακόβουλο κώδικα προτύπου στο όνομα, τον ΦΠΑ ή άλλα πεδία.
Για παράδειγμα, η παραπάνω επίθεση θα εισάγει ένα αντίγραφο του αρχείου ‘health_check.php’ στον ιστότοπο, που περιέχει ένα backdoor PHP που μπορεί να εκτελεί εντολές που αποστέλλονται μέσω αιτημάτων POST.
Αφού διείσδυσαν στον ιστότοπο, οι επιτιθέμενοι εγκατέστησαν ένα trojan απομακρυσμένης πρόσβασης προκειμένου να αποκτήσουν μόνιμη πρόσβαση και περισσότερο έλεγχο.
Βάσει των παρατηρήσεων της Sansec, πολλοί επιτιθέμενοι αναζητούν το αρχείο “health_check.php” κατά την παραβίαση για να διαπιστώσουν αν κάποιος άλλος χάκερ έχει ήδη μολύνει τον ιστότοπο. Εάν ναι, αντικαθιστούν το αρχείο με το δικό τους backdoor.
Ο απώτερος στόχος των επιτιθέμενων είναι να τροποποιήσουν τον ιστότοπο ώστε να περιλαμβάνει κακόβουλη JavaScript που θα κλέψει τις πληροφορίες και τους αριθμούς πιστωτικών καρτών των πελατών όταν αγοράζουν προϊόντα στο κατάστημα.
Γιατί υπάρχει ξαφνική αύξηση μετά από τόσο μεγάλο χρονικό διάστημα
Πολλαπλοί παράγοντες προκαλούν την πρόσφατη αύξηση των επιθέσεων που εκμεταλλεύονται αυτή την ευπάθεια, σύμφωνα με τους αναλυτές της Sansec.
Παρόλο που οι διορθώσεις είναι διαθέσιμες εδώ και δέκα μήνες, ένας σημαντικός αριθμός ιστότοπων Magento 2 εξακολουθεί να κινδυνεύει από αυτές τις επιθέσεις.
Δεύτερον, τα exploits PoC (proof of concept) είναι διαθέσιμα εδώ και πολύ καιρό, επιτρέποντας στους συντάκτες του exploit kit να τα ενσωματώσουν στα εργαλεία τους και να επωφεληθούν πουλώντας τα σε χάκερ με μικρή εμπειρία.
Στις αρχές του 2022, αυτά τα exploits του Magento θα κοστίζουν μεταξύ 20.000 και 30.000 δολαρίων, ενώ σήμερα πωλούνται μόλις 2.500 δολάρια.
Τέλος, το timing είναι ιδανικό για αυτές τις επιθέσεις, καθώς οι ιστότοποι βλέπουν αυξημένη επισκεψιμότητα λόγω της εορταστικής περιόδου, πράγμα που σημαίνει ότι οι κακόβουλες εισαγωγές κώδικα ενδέχεται να παραβλεφθούν.
Πηγή πληροφοριών: bleepingcomputer.com
