上周末，运行Magento 1的近2000家在线商店遭到黑客攻击，很可能是使用了几周前以5000美元出售的零日漏洞

上周末，全球近2000家Magento 1门店遭到黑客攻击，这是迄今为止记录在案的最大规模的黑客行动。这是一个典型的Magecart攻击：注入的恶意代码会截获未被怀疑的商店客户的支付信息。被检查的商店被发现运行Magento版本1，该版本于去年6月宣布停产。

SansEC早期漏洞检测系统监控全球电子商务空间的安全威胁，在结账页面上使用独特的键盘记录器(Skimmer)检测到1904家不同的Magento商店。周五，有10家商店受到感染，然后是周六的1058家，周日的603家，以及今天的233家。

这场自动化活动是SansEC自2015年开始监测以来确定的最大规模的活动。此前的纪录是去年7月单日遭黑客攻击的门店数量为962家。本周末事件的巨大规模表明，网络浏览的复杂性和盈利能力都在不断提高。犯罪分子越来越多地将他们的黑客操作自动化，以便在尽可能多的商店上运行网络浏览计划。

SansEC估计，上周末有数万名顾客的私人信息通过其中一家被泄露的商店被盗。

许多受害商店以前没有安全事件的历史。这表明使用了一种新的攻击方法来获得对所有这些存储的服务器(写入)访问权限。虽然我们仍在调查确切的媒介，这场战役可能与最近的Magento 10天(漏洞)有关，该漏洞是几周前挂牌出售的。

用户z3r0day在黑客论坛上宣布以5000美元的价格出售Magento 1“远程代码执行”攻击方法，包括说明视频。据称，不需要之前的Magento管理员帐户。卖家z3r0day强调，由于Magento 1已经停产，Adobe将不会提供官方补丁来修复此漏洞，这将使此漏洞对使用传统平台的店主造成额外的损害。

为了增加交易的甜头，z3r0day承诺只卖出10份危险的漏洞。从俄语翻译过来：

根据SansEC的实时数据，截至今天，约有9.5万家Magento 1门店仍在运营。

PCI的官方要求是在服务器上使用恶意软件漏洞扫描程序，如SansEC的eComscan。SansEC还建议订阅替代Magento 1补丁支持，例如由Mage One提供的支持。

截至周一，SansEC正在对两台受损的服务器进行法医调查。攻击者使用IP 92.242.62.210(US)和91.121.94.121(OVH，FR)与Magento管理面板交互，并使用“Magento连接”功能下载和安装各种文件，包括名为mysql.php的恶意软件。将恶意代码添加到protocol type.js后，此文件被自动删除。

2020-09-14T09：57：06 92.242.62.210 Get/Downloader/Http/1.12020-09-14T09：57：09 92.242.62.210 POST/Downloader/Http/1.12020-09-14T09：57：09 92.242.62.210 Get/index.php/ADMIN/？SID=XXXX HTTP/1.12020-09-14T09：57：10 92.242.62.210 GET/index.php/admin/dashboard/index/key/<；hash>；/HTTP/1.12020-09-14T09：57：13 92.242.62.210获取/index.php/admin/system_config/index/key/<；hash>；/http/1.12020-09-14T09：57：15 92.242.62.210获取/index.php/admin/system_config/edit/section/dev/key/<；hash>；/HTTP/1.12020-09-14T09：57：19 92.242.62.210 POST/index.php/admin/system_config/save/section/dev/key/<；hash>；/http/1.12020-09-14T09：57：20 92.242.62.210获取/index.php/admin/system_config/edit/section/dev/key/<；hash>；/HTTP/1.12020-09-14T09：57：22 92.242.62.210获取/index.php/admin/import/index/key/<；hash>；/http/1.12020-09-14T09：57：25 92.242.62.210 POST/index.php/admin/import/validate/key/<；hash>；/Http/1.12020-09-14T09：57：25 92.242.62.210 Get/Downloader/Http/1.12020-09-14T09：57：28 92.242.62.210 POST/downloader/index.php?A=connectInstallPackageUpload&；maintenance=1&；archive_type=0&；backup_name=Http/1.12020-09-14T09：57：29 92.242.62.210 Get/Downloader/index.php？A=CleanCache HTTP/1.12020-09-14T09：57：31 92.242.62.210 GET/mysql.php HTTP/1.1.。

网络服务器日志显示，周末期间曾多次尝试安装文件，可能是为了安装改进版本的Skimmer。

对于受影响的Magento 1商店，加载的撇油器被添加到文件prototype.js中，该文件是标准Magento安装的一部分。

Net/122002/Assets/js/widget.js提供动态内容，具体取决于它包含在哪个页面上。仅当从结帐页面引用时，它才会提供恶意的击键日志记录代码：

实际付款正在渗入莫斯科托管的https://imags.pw/502.jsp，网站，该网站与mcdn.net域位于同一网络上。

执法部门可以获得受威胁商店的完整名单，请联系SansEC。