Wat er gebeurde op Shrwaa.com
Een populaire e-commerce site in Koeweit, draaiend op een verouderde versie van Magento (2.4), is gecompromitteerd door een kwaadaardige JavaScript injectie, waardoor betalingsgegevens van klanten zijn blootgesteld. De kwetsbaarheid, waarschijnlijk gekoppeld aan de CosmicSting bug in Magento, is gepatcht, maar sites die niet zijn bijgewerkt blijven risico lopen.
In tegenstelling tot andere getroffen sites, wordt Shrwaa[.]com uitgebuit als infrastructuur voor aanvullende aanvallen. Een URL scan toont talrijke sites die verwijzen naar Shrwaa[.]com, dat meerdere kwaadaardige JavaScript bestanden host:
Aangezien dit domein momenteel niet wordt gemarkeerd door threat feeds (een groot probleem als het gaat om client-side aanvallen), gebruiken de aanvallers het als infrastructuur en om het proces van het infecteren van meer sites te versnellen.
Een bestand genaamd jquery.js is slechts losjes geobfusceerd, wat ons inzicht geeft in hoe de injectie werkt. Dit bestand creëert een eenvoudige HTML-pagina die gebruikers misleidt om hun betalingsgegevens in te voeren. Deze neppagina's worden over de legitieme betalingsformulieren heen gelegd:
Aangezien er geen monitoring van third-party scripts en beveiligingspraktijk aanwezig is, blijft deze aanval actief, en is waarschijnlijk actief geweest sinds december 2023.
Aanvallen blijven gebruikelijk op het Magento platform. Deze staan bekend als Magecart aanvallen, en enkele van de grootste incidenten hebben vergelijkbare tactieken gebruikt. Voor preventieadvies, lees onze gids over client-side beveiliging voor e-commerce.
Als Shrwaa[.]com cside had gehad, zou het de kwaadaardige code hebben geblokkeerd en de site hebben gewaarschuwd om deze te verwijderen. We hebben hen en andere sites op de hoogte gesteld van de aanval.
U kunt uw website gratis beschermen door een cside account aan te maken.
