Cyberthreat.id - FBI memperingatkan pengguna toko online untuk mewaspadai serangan skimming pada plugin di Magento. Serangan ini terus meningkat sejak Oktober 2019. FBI menyebut hacker menanam kode program berbahaya yang berfungsi sebagai skimmers di toko online dengan mengeksploitasi bug yang sudah ada sejak 2017 di plugin Magento Mass Import (MAGMI).

Hacker menggunakan kerentanan pada plugin Magento untuk mengambil alih toko online dengan menanam skrip berbahaya kemudian mengumpulkan rincian kartu pembayaran dari pembeli. Jenis serangan ini dikenal dengan sebutan web skimming, e-skimming, atau Magecart.

Dalam operasi baru-baru ini, hacker mengeksploitasi CVE-2017-7391, kerentanan di MAGMI - sebuah plugin untuk toko online berbasis Magento. Celahnya berupa bug Cross-Site Scripting (XSS) yang memungkinkan penyerang menanamkan kode jahat di dalam kode HTML toko online.

Hacker mengeksploitasi kerentanan ini untuk mencuri kredensial pembayaran di toko online Magento kemudian digunakan untuk mengambil alih situs-situs yang ditargetkan.

Setelah hacker mendapatkan akses ke situs, mereka akan menanam shell web untuk mengakses serta mulai memodifikasi file PHP dan JavaScript situs dengan kode berbahaya. Kode berbahaya itu mencatat rincian pembayaran yang dimasukkan di toko ketika pengguna membeli dan membayar untuk produk baru.

Data kartu pembayaran yang direkam dari transaksi pengguna kemudian dikodekan dalam format Base64, disembunyikan di dalam bit file JPEG, dan dikirim ke server milik hacker yang beralamat di 89.32.251.136.

Server ini merupakan host yang dikenal sebagai Inter, layanan cybercrime yang menyewakan infrastruktur untuk kelompok hacker berkemampuan rendah sehingga mereka dapat melakukan operasi pencarian web.

"Berdasarkan laporan dari VirusTotal, server telah digunakan dalam serangan web skimmer sejak Mei 2019," tulis ZD Net, Selasa (19 Mei 2020).

Selain memperingatkan pengguna toko online, FBI juga menyarankan para pemilik toko untuk melakukan pembaharuan ke MAGMI 0.7.23 guna memperbaiki bug XSS yang memberikan akses penyerang kepada toko.

Namun, plugin MAGMI hanya berfungsi untuk versi 1.x dari toko online di Magento yang masa pakainya berakhir 30 Juni 2020. Idealnya, pemilik toko online harus memperbarui seluruh fitur dan plugin toko, bukan hanya plugin MAGMI ke versi 2.x.

FBI juga menyarankan pemilik toko online untuk menggunakan indikator kompromi (IoC) yang dapat digunakan operator Magento di dalam firewall aplikasi web (WAF) mereka guna mencegah serangan terhadap situs toko online. []

Redaktur: Arif Rahman