© Depositphotos / PirenX

Wieder einmal wird das Shop-System Magento angegriffen. In der nahen Vergangenheit wurden bereits mehrmals Viren, Trojaner und Malware auf die Onlineshops von Magento los gelassen. Dabei haben diese dann nicht nur Inhalte des Shops verändert und alles durcheinander gebracht, sondern sie sind auch an sensible Daten der Kunden gekommen. Jetzt ist das wieder der Fall. Die Angreifer jubeln den Kunden der Shops ein sogenanntes Exploit-Kit unter und fischen dann damit auf deren Rechnern Kartendaten und Logins für Bezahldienste ab. Fast 8.000 Shops sollen aktuell davon betroffen sein.

Immer wieder Magento
Magento wurde in der Vergangenheit immer mal wieder Opfer von eigenen Sicherheitslücken. Der Grund, wieso sich die Angreifer bereits zum wiederholten Male Magento als Angriffsziel aussuchen, liegt auf der Hand: Zum Einen scheint Magento doch immer wieder für Sicherheitslücken anfällig zu sein und zum Anderen lohnen sich die Online-Shops für die Angreifer besonders, da zu erwarten ist, dass dort sensible Kundendaten, wie beispielsweise Logins für Bezahlsysteme oder Daten der Bankkarten, vorliegen. Diese können die Angreifer dann abrufen und an sich reissen. Mozilla und Google haben auf Grund des weit um sich fassenden Schadens mittlerweile die bekanntgewordene Domain gesperrt. Der Schadcode wurde bereits auf fast 8.000 Magento-Seiten verteilt. Allerdings können die Angreifer nun ihre Attacken theoretisch über andere Domains fahren. Dazu ist aber noch nichts weiter bekannt geworden. Ob Ihr Online-Shop ebenfalls auf Magento basiert, können Sie unter http://syscheck.net herausfinden. Einfach den Link zum Shop eingeben und schon wird die Information ausgegeben, um welches System es sich dabei handelt.

Der Infektionsweg ist weiterhin unbekannt
Noch beängstigender als das Problem sowieso schon ist, macht das Ganze die Tatsache, dass der genaue Infektionsweg noch immer nicht wirklich bekannt ist. Magento arbeitet derzeit an Patches, um die Sicherheit wieder zu gewährleisten. Gleichzeitig wird aber auch nach dem wirklichen Problem gesucht. Ob eine aktuelle Lücke in der Software als Einfallstor dient ist nämlich überhaupt noch nicht geklärt. Klar ist nur, dass die Angreifer das Shop-CMS infizieren. Die Shopbetreiber und vor allem auch die Besucher sollten daher in der nächsten Zeit besonders vorsichtig sein und genau beobachten. Häufig verraten sich Viren, Trojaner und Malware allgemein sehr leicht. Fällt Ihnen etwas ungewöhnliches auf, beispielsweise bei der Abfrage Ihrer Daten, sollten Sie skeptisch sein.

Wie der Schadcode entdeckt werden kann
Die Seiten der Shops mit Magento übertragen die Schadsoftware über kleine sogenannte iFrames, die zur Domain namens Guruincsite.com führen. Deshalb wird die ganze Problematik international auch guruincsite infection genannt. Die Verlinkung konnte im Klartext erkannt werden, es gibt jedoch auch eine weitere Variante, die den Link durch Nutzung von ASCII-Code statt Klartext-Zeichen verbirgt. Meist lassen sich die infizierten iFrames in der Datenbank-Tabelle core_config_data unter design/footer/absolute_footer finden. Empfohlen wird allerdings, die gesamte Datenbank abzusuchen und zu scannen, entweder nach „function LCWEHH(XHFER1){XHFER1=XHFER1“ oder der Bezeichung „guruincsite“. Google konnte nur anhand dieser Entdeckung die Verlinkungen zu den fast 8.000 bisher betroffenen Magento Shops sperren. Weichen die Angreifer jetzt aber auf einen alternativen Domain aus, muss dieser erst wieder gefunden werden. Deshalb hat es nun höchste Priorität, die wirkliche Ursache dafür zu entdecken.