Magento: Tausende Online-Shops greifen heimlich Kreditkarten-Informationen ab

Tausende Online-Shops, darunter einige von millionenschweren Großunternehmen, sind mit Skimming-Malware infiziert, die im Verborgenen agiert und die Bezahldaten jedes einzelnen Kunden an einen Server in Moskau schickt. Der niederländische Sicherheitsforscher Willem de Groot, der die Malware-Kampagne entdeckte, hat Ende August insgesamt 7339 infizierte Shops ausgemacht. Allerdings fluktuiert diese Zahl, da Administratoren den Schadcode nach und nach aus ihren Shops entfernen und laut de Groot 50 bis 60 Shops pro Tag neu infiziert werden. Aktuell konnte heise online bei Recherchen über 5200 infizierte Seiten im Web ausmachen.

Brute-Force-Angriffe und Hintertüren

Betroffen ist die beliebte Shop-Software Magento, welche die Grundlage für viele Verkaufs-Webseiten im Netz liefert. Laut de Groot nutzen die unbekannten Angreifer für ihre Attacken meist keine Sicherheitslücken in der Software, sondern versuchen mit Gewalt die Passwörter der Admin-Konten der Shops zu knacken. Mit anderen Worten: Sie verwenden automatische Skripte, die immer wieder verschiedene Nutzernamen/Passwort-Kombinationen ausprobieren, oft monatelang.

Haben sich die Angreifer Zugang zu den Admin-Funktionen der entsprechenden Magento-Installation verschafft, bauen sie ein Stück JavaScript-Code in die HTML Template des Shops ein, welches die Eingaben der Nutzer mitschreibt und in Echtzeit an einen in Russland unter der Domain magentocore.net registrierten Server schickt. Daraus extrahieren die Angreifer dann anscheinend die Bankdaten der Shop-Käufer. Außerdem tragen die Angreifer Einträge in die cron.php-Datei ein, mit der Magento automatische Aufgaben zu regelmäßigen Zeitpunkten ausführen lässt. Diese Einträge sorgen dafür, dass die Shop-Software in regelmäßigen Abständen Schadcode aus dem Netz lädt, der die Passwörter einiger Magento-Admin-Konten auf einen den Hackern bekannten Wert ändert. Auf diese Weise bauen die Angreifer Hintertüren in den Shop ein, um ihn nach der Entfernung der Malware neu infizieren zu können.

Angriffe erkennen und vermeiden

Ob ein Shop infiziert ist kann man in der Regel daran erkennen, dass der folgende JavaScript-Code (oder Abwandlungen davon) im Quellcode der Shop-Seiten auftaucht:

<script type="text/javascript" src="https://magentocore.net/mage/mage.js"></script>

Shop-Administratoren sollten diese Verweise sofort entfernen und die Cron-Routinen ihrer Magento-Installation nach Hintertüren durchsuchen. Außerdem sollten sie prüfen, ob die Passwörter von Nutzern mit Admin-Zugang zu der Seite geändert wurden.

Sind die Angreifer eingedrungen, in dem sie per Brute-Force-Angriff ein Passwort eines Administrators erraten haben, sollte dringend die Stärke dieser Passwörter verbessert werden. Außerdem könnte es hilfreich sein, per Webserver-Konfiguration IPs zu blockieren, die abnormal oft auf Login-Seiten zugreifen. Als Spezialist für die Absicherung von Magento-Seiten hält de Groot in seinem Bericht über die Angriffe noch weitere nützliche Tipps zur Absicherung bereit. (fab)