Online-Skimming: Bereits 1.000 deutsche Magento Shops betroffen

Tausende Magento Shops von Skimming-Malware befallen

Im Zuge einer aktuell beobachteten Angriffswelle sind mehrere Tausend Magento Onlineshops mit Skimming-Malware infiziert worden – und es kommen täglich mehrere Dutzend hinzu. Nachdem die Angreifer sich Zugang zum Admin-Panel eines Shops verschafft haben, schleusen sie Schadcode ein und lesen die Kreditkartendaten der Kunden mit. Wir fassen zusammen, wie genau die Attacken aufgebaut sind und wie Onlinehändler ihren Shop und ihre Kunden davor schützen können.

Wie funktioniert die Malware-Angriffswelle?

Zu Beginn lassen die Angreifer nach der plumpen aber bewährten Brute-Force-Methode automatisiert unzählige mögliche Kombinationen aus Benutzernamen und Passwörtern für den Login ins Admin-Panel durchprobieren. Sobald sie auf diese Weise eine tatsächlich im Shop hinterlegte Kombination ermittelt haben, können sie bequem und unbemerkt den Quelltext des Shops bearbeiten. Sie fügen – zumeist gut in den Tiefen der Templates versteckt – eine unauffällige Zeile mit dem Aufruf der auf einem externen Server liegenden JavaScript Malware ein – und sind in der Lage, von Shopkunden eingegebene Kreditkartendaten mitzulesen. Zudem fügen sie Hintertüren für das erneute Einbrechen hinzu, falls das Passwort des geknackten Admin-Nutzers zwischenzeitlich geändert werden sollte.

Wie erkennt man einen infizierten Shop?

Während Willem de Groot, ein niederländischer Experte für Security und Magento, in seinem detaillierten Blog-Beitrag zur aktuellen Angriffswelle noch von 7339 in den vergangenen sechs Monaten infizierten Magento Shops schreibt, konnte heise.de in eigenen Recherchen die Malware aktuell noch in 5200 Shops entdecken, während die Zahl der täglichen Neuinfektionen auf mehrere Dutzend geschätzt wird. Erkennen kann man einen bereits mit der Schadsoftware infizierten Shop sehr einfach, indem man den Quelltext nach dieser Zeile durchsucht:

<script type="text/javascript" src="https://magentocore.net/mage/mage.js"></script>

Wer diese Zeile in seinem Shop findet, muss umgehend die notwendigen Schritte in die Wege leiten, um die Malware und alle Hintertüren der Hacker zu entfernen. Aber wer diese Zeile nicht im Shop findet, hat deshalb noch keinen Grund, erleichtert durchzuatmen. Immerhin kann der Brute-Force-Angriff im Verborgenen gerade noch in vollem Gange sein – und die Schadsoftware findet möglicherweise bereits in ein paar Tagen oder Wochen doch noch ihren Weg in den Shop.

Was ist zu tun, wenn ein Shop infiziert ist?

Ein infizierter Shop muss auf von den Angreifern eingerichtete Hintertüren in den Cronjobs untersucht werden. Sollten sich welche finden, sind sie umgehend zu entfernen. Zudem muss nach kürzlich geänderten Passwörtern von Admin-Nutzern gesucht werden. Auch müssen die Passwörter aller Admin-User geändert werden. Und selbstverständlich muss die für das Nachladen der Malware zuständige Code-Zeile ausfindig gemacht und aus dem Quelltext entfernt werden. Ein guter Überblick zu allen notwendigen Schritten findet sich in unserem How-to zur Entfernung von Malware aus Magento Shops.

Wie lässt sich ein Shop gegen solche Angriffe schützen?

Magentos Empfehlungen für den Schutz vor Brute-Force-Attacken haben wir kürzlich in einem Blog-Beitrag zu diesem Thema zusammengefasst. Zusätzlich schützen lässt sich ein Shop durch das Hinzufügen eines HTTP-Auth-Schutzes für das Admin-Panel. Damit wird den (zwar bewährten, wie oben bereits bemerkt aber eben auch plumpen) Brute-Force-Bots ein wirksamer Riegel vorgeschoben, da sie die Login-Seite des Shops gar nicht erst erreichen.

Brauchen Sie Hilfe für den Schutz ihres Magento Onlineshops?

Für eine gründliche Überprüfung von Magento Onlineshops auf Sicherheitslücken jeder Art und die umfassende Aktualisierung der Sicherheitsarchitektur des Systems hat sich unser Magento Security Check bewährt. Um das eigene System einem echten Härtetest auf mögliche neuralgische Punkte zu unterziehen, empfehlen wir einen Security Penetration Test oder auch eine erweiterte Absicherung durch den modular aufgebauten Service 8ackProtect.

Dieser Beitrag wurde am von Splendid Internet veröffentlicht/zuletzt bearbeitet.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

zwei + sieben =