Magentoを狙うマルウェアが進化、WooCommerceも侵害
マイナビニュース2024年4月4日(木)9時46分
Sucuriは4月2日(米国時間)、「Magento Shoplift: Ecommerce Malware Targets Both WordPress & Magento CMS」において、電子商取引(EC)プラットフォーム「Magento(Adobe Commerce)」を標的とするマルウェア「Magento Shoplift」の亜種を発見したとしてその詳細を報じた。このマルウェアはWordPress向け電子商取引プラグイン「WooCommerce」を標的とするように進化したとみられる。
○Magento侵害の詳細
SucuriはMagento Shopliftの亜種を顧客の調査依頼により発見したと説明しており、その侵害経路はわかっていない。この亜種は侵害したWooCommerceサイトの「./wp-content/uploads/custom-css-js/134019.js」に悪意のあるJavaScriptを挿入することで通販サイトの顧客情報(クレジットカードなどを含む)を窃取する。
このスクリプトのパスからWordPressプラグイン「Simple Custom CSS and JS」を利用している、または勝手にインストールしたWebサイトを侵害するものとみられる。
悪意のあるJavaScriptは「wss://jqueurystatics[.]com:8001」からマルウェア本体をロードする機能を持つ。また、JavaScriptには「GoogleAnalyticsObjects」や「www.google-analytics.com/Analytics.js」などの文字列が使用されており、一見するとGoogleのアクセス解析サービス用の処理を実行しているかのように偽装する手法がとられている。
○WooCommerceサイトを保護するための対策
Sucuriは同様の攻撃からWooCommerceサイトを保護するため、次のような対策を推奨している。
WordPress本体、プラグイン、テーマを常に最新の状態に維持する
すべてのアカウントに一意で強力なパスワードを設定する。また、二要素認証(2FA: Two-Factor Authentication)を導入する
不正アクセスなどの異常な活動がみられないかWebサイトを定期的に監視する
Webアプリケーションファイアウォール(WAF: Web Application Firewall)を導入する
Webサイトのイミュータブルバックアップを定期的にとり、復元できるかテストする
Webサイトの侵害は「Website Malware Scanning & Detection | Sucuri」などのサービスを利用して確認することができる。Webサイトが侵害されている場合はバックドアを設置されている可能性があるため、専門家またはセキュリティ専門企業に相談して対処することが推奨されている。
○Magento侵害の詳細
SucuriはMagento Shopliftの亜種を顧客の調査依頼により発見したと説明しており、その侵害経路はわかっていない。この亜種は侵害したWooCommerceサイトの「./wp-content/uploads/custom-css-js/134019.js」に悪意のあるJavaScriptを挿入することで通販サイトの顧客情報(クレジットカードなどを含む)を窃取する。
このスクリプトのパスからWordPressプラグイン「Simple Custom CSS and JS」を利用している、または勝手にインストールしたWebサイトを侵害するものとみられる。
悪意のあるJavaScriptは「wss://jqueurystatics[.]com:8001」からマルウェア本体をロードする機能を持つ。また、JavaScriptには「GoogleAnalyticsObjects」や「www.google-analytics.com/Analytics.js」などの文字列が使用されており、一見するとGoogleのアクセス解析サービス用の処理を実行しているかのように偽装する手法がとられている。
○WooCommerceサイトを保護するための対策
Sucuriは同様の攻撃からWooCommerceサイトを保護するため、次のような対策を推奨している。
WordPress本体、プラグイン、テーマを常に最新の状態に維持する
すべてのアカウントに一意で強力なパスワードを設定する。また、二要素認証(2FA: Two-Factor Authentication)を導入する
不正アクセスなどの異常な活動がみられないかWebサイトを定期的に監視する
Webアプリケーションファイアウォール(WAF: Web Application Firewall)を導入する
Webサイトのイミュータブルバックアップを定期的にとり、復元できるかテストする
Webサイトの侵害は「Website Malware Scanning & Detection | Sucuri」などのサービスを利用して確認することができる。Webサイトが侵害されている場合はバックドアを設置されている可能性があるため、専門家またはセキュリティ専門企業に相談して対処することが推奨されている。
「マルウェア」をもっと詳しく
「マルウェア」のニュース
-
Linuxサーバ狙うマルウェア「Ebury」、認証情報や暗号資産を窃取5月17日11時31分
-
人気アプリに偽装して複数マルウェアを配布するサイバー攻撃に注意5月16日12時44分
-
撲滅後もしぶとく生き残る「LockBit3」、4月マルウェアランキング5月16日8時46分
-
2023年度はマルウェア「Mirai」のパケットを多く観測、海外製品に侵害傾向5月14日8時43分
-
SOHO向けネットワーク機器を標的とするマルウェア「Cuttlefish」に注意5月13日7時52分
-
Mac狙う新たなマルウェア「Cuckoo」発見、右クリックの「開く」に注意5月9日10時5分
-
Androidアプリに悪意あるコードを追加して再配布するマルウェアに注意5月2日8時31分
-
Chromeだと思ったらマルウェアだった、Android狙うサイバー攻撃に注意4月27日9時5分
-
Kaspersky、2023年にデバイスが感染した最多の情報窃取型マルウェアは「Redline」と報告4月25日15時46分
-
【セキュリティレポート】過去3年間の国内セキュリティインシデントを集計2023年のインシデント総数は916件 マルウェア感染を除くすべての項目でインシデントが増加4月22日10時0分