Peneliti keamanan mengatakan mereka telah mengidentifikasi 1000 situs berbasis Magento diretas oleh penjahat cyber dan terinfeksi dengan skrip berbahaya yang bisa mencuri rincian kartu pembayaran atau digunakan sebagai titik pementasan dalam pengiriman malware lainnya.
“Situs Magento berhasil diretas melalui serangan brute-force menggunakan kredensial Magento standar yang umum dan diketahui,” kata peneliti Flashpoint.
“Serangan brute force seperti ini bisa terjadi karena admin tidak mengubah kredensial standar setelah pemasangan platform,” peneliti menambahkan.
Situs yang diretas yang digunakan untuk cryptojacking, mencuri data kartu, dan lainnya
Setelah penyerang mendapatkan akses ke situs-situs tersebut, para peneliti mengatakan mereka telah mengamati tiga pola utama aktivitas berbahaya.
Praktik yang paling umum adalah memasukkan kode berbahaya di file inti Magento, kode yang mencatat informasi kartu pembayaran yang dimasukkan di dalam proses checkout. Malware semacam itu diberi nama card scraper.
Kedua, penyerang juga menyebarkan skrip cryptojacking yang menambang Monero pada perangkat yang mengunjungi situs, praktik yang telah menjadi sangat umum akhir-akhir ini, di semua situs, bukan hanya situs berbasis Magento.
Peretas juga menggunakan situs berbasis Magento yang diretas ini untuk mengarahkan ulang beberapa pengunjung situs yang terinfeksi ke situs berbahaya yang mencoba mengelabui pengguna agar mengunduh dan memasang malware di perangkat mereka. Menurut kasus yang diselidiki oleh para peneliti Flashpoint, taktik yang paling umum adalah mengarahkan pengguna ke situs yang menawarkan paket pembaruan Adobe Flash Player palsu, yang akan menginfeksi pengguna dengan inforator AZORult.
https://www.youtube.com/watch?v=qFAo8c7ps_E&t=35s
Menurut peneliti, sebagian besar dari 1000 situs berbasis Magento yang diretas ini berada di sektor pendidikan dan perawatan kesehatan, dengan sebagian besar situs yang disusupi dihosting di server yang berlokasi di UE dan AS.
Masih ada banyak situs berbasis Magento yang diretas di luar sana
Pakar keamanan percaya bahwa situs yang mereka temukan hanyalah sampel kecil dari semua situs berbasis Magento yang diretas.
Flashpoint mengatakan bahwa selain Magento, intelijen ancaman yang dikumpulkan dari entry-level dan top-tier forum Deep & Dark Web menunjukkan bahwa penjahat cyber juga sangat tertarik dengan platform e-commerce lainnya, tidak hanya Magento, seperti OpenCart dan Powerfront CMS.
Dalam lanskap cybercrime saat ini di mana penjahat memiliki akses ke botnet brute-force yang murah, yang dapat mereka gunakan untuk menebak kata sandi situs dengan usaha yang relatif sedikit, pemilik situs harus memastikan mereka menggunakan nama pengguna dan kata sandi unik yang tidak dapat ditebak setelah beberapa kali percobaan brute-force.
Mengamankan kata sandi akun admin harus menjadi prioritas utama – di samping menerapkan pembaruan keamanan – untuk semua pemilik situs, bukan hanya mereka yang mengelola situs berbasis Magento saja.
