I Phisher nel corso da fine 2015 fino ad oggi sfruttano in maniera importante i siti internet con il CMS Magento a seguito della pubblicazione della vulnerabilità CVE-2015-1397. Questa vulnerabilità permette ad un malintenzionato di creare un nuovo utente con i permessi di amministratore, registriamo una media di 3 nuovi casi di Phishing giornalieri che sfruttano questa vulnerabilità.

Il CMS Magento viene fortemente utilizzato per creare dei siti di eCommerce, conseguentemente le informazioni presenti nel Database possono essere preziose per un malintenzionato.

Solitamente gli attaccanti una volta ottenuto i permessi di amministratore si limitano a caricare un Plugin che gli permette di editare i file esistenti, alterando quindi la struttura del sito internet al fine di caricare una webshel e il kit di Phishing.

Ma come è già capitato in passato con il CMS PrestaShop, nell’ultimo periodo abbiamo rilevato dei tentativi di alterazione del codice sorgente del CMS o di estrazione di dati sensibili dal Database.

Grazie alla collaborazione di un Webmaster abbiamo analizzato tutti i file presenti nel dominio, rilevando la presenza di un kit automatico che permette di estrarre le seguenti informazioni:

• Username e Password (hash) degli amministratori;
• Configurazione del Database del CMS (Host, Username, Password);
• Username e Password (hash) degli utenti registrati sul sito;
• Carte di Credito memorizzate nel Database (solo se il CMS non si appoggia a servizi esterni come PayPal);
• Indirizzi degli utenti.

Inoltre viene alterata la struttura del CMS creando un invio automatico delle Carte di Credito inserite dal legittimo utente in fase di registrazione.

 

Il file /app/code/core/Mage/Payment/Model/Method/Cc.php viene alternato includendo come visibile nello screenshot precedente una porzione di codice che acquisisce i dati della Carta di Credito inserita dall’utente e la invia via eMail al Phisher. L’eMail al fine di non essere identificata da un eventuale scanner è stata riportata con la codifica base64, la funzione PHP base64_decode() provvederà successivamente alla decodifica dell’indirizzo.

Quest’ultima è una operazione che permette al Phisher di ottenere i dati di nuove carte di credito in tempo reale anche successivamente all’aggiornamento e relativa bonifica del CMS. Poiché purtroppo si tende ad aggiornare Magento e a eliminare utenti malevoli senza controllare la struttura dell’intero sito internet.

 

 

La “firma” dell’attaccante, come visibile nella porzione di codice sopra mostrata, fa riferimento ad una sviluppatrice indonesiana, presente sia sui social, dove pubblicizza i suoi tools, che su Zone-H, forum dedicati all’hacking ed al carding, nonché portali di ingaggio di freelance.
E’ opera sua il tools per Windows in grado di eseguire in maniera automatica la modifica del file Cc.php su una lista predefinita di siti forniti. Tool che oltre a modificare il File System del CMS Magento estrapola le statistiche di vendita con l’importo totale degli ordini effettuati sul sito e la media degli ordini, verifica inoltre se è stato impostato un server SMTP per l’invio dell’eMail, verificando inoltre la funzionalità del server SMTP poichè può tornare utile ad un malintenzionato per inviare ulteriori eMail di scam da nuovi server che non sono presenti nelle BlackList RBL.