威胁演员损害了+500洋养碟的电子商店与电子撇鞋

最后更新：2022.02.24

专家们发现了一个遭受损害Magento 1电子商务平台的500架电子商店的大规模Magecart活动。

来自网络安全公司萨索克的研究人员已经发现了一项大规模的Magecart运动，已经损失了超过500多家在线商店运行Magento的在线商店1电子商务平台。

这个广告系列背后的威胁演员部署了一个数字撇渣器，它是从

NaturalFreshmall（。）COM 域的加载。

超过350家被感染的电子商务店恶意软件在一天中。
今天我们的全球履带人发现了374家电子商务店，感染了相同的恶意软件。370这些商店通过HTTPS：// NaturalFreshMall [。] COM /图像/像素[。] JS。
＆mdash;

上周南部南部南部发现了一项经营Magento 1电子商务平台的500多家商店的大规模违约。所有商店都是从

NaturalFreshMall.com

域加载的支付撇渣器的受害者。我们邀请受害者联系我们，所以我们可以找到一个共同的进入点，保护其他商家免受呼气的新攻击。阅读SANSEC发布的分析。现在完成第一次调查：攻击者使用SQL注入（SQLI）和PHP对象喷射（POI）攻击的巧妙组合来获得Magento商店的控制。

攻击链从利用QuickView插件中的已知漏洞，允许攻击者将Rogue管理员注入弱势群体存储器。在专家调查的案例中，攻击者利用漏洞将验证规则添加到Customer_eav_Attribute表。

添加的验证规则包含用于欺骗的POI有效载荷主机应用于制作恶意对象。 在本例中，zend_memory_manager和zend_codegenerator_php_file用于创建一个名为api_1.php的文件，使用简单的backdoor eval（$ _ post [z]）。报告分析。使用此攻击方案，通过使用新客户的验证规则，通过简单地浏览Magento注册页面，攻击者可以触发返回的不定值和执行后门。[123那么攻击者将能够通过API_1.php后台运行任何PHP代码。

专家指出攻击者在系统上安装不少于19个后门。要消除系统，有必要去除它们中的每一个，以防止重新感染。

梵文已发表了妥协指标，包括在受损的系统和IP上丢弃了一份文件列表这涉及这个广告系列。

这些攻击的根本原因是使用m达到生命结束的Agento 1平台，因此不再接收安全更新。

虽然Magento 1平台已被Adobe宣布寿命结束，数千名专业商家仍在使用它。由于Adobe不再提供安全补丁，我们建议采取额外措施，以保证您的商店。对恶意软件的监控是至关重要的（例如我们的EcomScan扫描仪）。此外，提供了为Magento提供的社区贴片1.总结报告。通过OpenMage或通过MAGE-ONE的商业支持开源。

- END -

240