Über tausend Webshops in Europa und den USA kompromittiert

Verfasst von redaktion am 09.04.2018 - 05:40

Zumindest tausend Onlineshops sollen neben Waren und Dienstleistungen auch noch gefährliche Beigaben für ihre Nutzer im Angebot haben. Wie Flashpoint Security berichtet, wurden Seiten kompromittiert, die auf der quelloffenen Plattform Magento aufsetzen. Laut dem Bericht gibt es seit 2016 Interesse an der Kompromittierung von Magento auf einschlägigen Plattformen im Dark Web. Dass eine recht hohe Anzahl an Seiten betroffen ist, hat aber auch mit Unvorsichtigkeit ihrer Admins zu tun.

So werden Listen mit Magento-basierten Seiten gehandelt. Angreifer erwerben diese und versuchen, sich via Bruteforce – also dem automatisierten Durchprobieren von Nutzername/Passwort-Kombinationen – Zugriff zu verschaffen. Dabei werden zuallererst Standard-Logins ausprobiert, mit denen sich Nutzer normalerweise während der ersten Einrichtung des Systems einloggen. Betroffen sind also vorwiegend Betreiber, die diese Daten nicht geändert haben oder zum Standard-Loginkonto nur ein einfach zu erratendes Passwort verwenden.

Einmal als Adminstrator eingeloggt, stehen den Eindringlingen praktisch alle Möglichkeiten offen. So wurden unter anderem eingegebene Kreditkartendaten abgefangen und an die Angreifer umgeleitet, Kryptomining-Skripte ausgeführt oder die Nutzer an andere Seiten weitergeleitet, auf denen ihnen sensible Daten entlockt werden sollen. Ebenfalls kam es zur Bewerbung eines gefälschten Updates des Flash-Players, das nach seiner Installation weitere Schadsoftware auf den Rechner des Opfers lädt. Mit dieser werden etwa Daten geklaut und nach Kryptowährungen geschürft. Eine Analyse der betroffenen Webshops zeigte, dass die Angreifer es vorwiegend auf Präsenzen in den USA und Europa abgesehen haben.