Wereldwijd zijn er 6700 webwinkels besmet met malware genaamd Visbot die creditcardgegevens steelt. Dat ontdekte de Nederlandse beveiligingsonderzoeker Willem de Groot. De malware is al sinds maart 2015 in omloop en nestelt zich in de code die op de server draait. Dit maakt Visbot veel lastiger te detecteren dan andere malware die webwinkels infecteert om creditcardgegevens te stelen, aldus De Groot.
Visbot injecteert zichzelf in de bestaande code van de website en blijft in slaaptoestand totdat het detecteert dat een bezoeker data heeft ingevoerd, zoals een bestelling of wachtwoord. De ingevoerde data wordt vervolgens versleuteld en in een zogenaamde afbeelding opgeslagen. Deze "afbeelding" wordt later door de aanvallers gedownload. Volgens De Groot is dit een slimme werkwijze, aangezien webwinkels meestal over een groot aantal afbeeldingen beschikken. Het downloaden van een bestand valt dan ook niet op. Daarnaast zorgt het versleutelen van de data ervoor dat concurrerende criminelen de inhoud niet kunnen inzien.
Hoewel Visbot goed is verborgen heeft de ontwikkelaar van de malware een functie toegevoegd zodat hij kan zien of de malware nog actief is. Deze functie is op afstand aan te roepen en liet De Groot het aantal besmette webwinkels in kaart brengen. De webwinkels in kwestie draaien allemaal op Magento, populaire software voor webshops. Het komt regelmatig voor dat Magento-webwinkels worden gehackt omdat de eigenaren belangrijke beveiligingsupdates niet hebben geïnstalleerd. Zo ontdekte De Groot eerder al 5900 gehackte webwinkels waar creditcardgegevens werden gestolen, waaronder ook 250 Nederlandse webshops. De Groot heeft verschillende CERTS en providers over de besmette webwinkels ingelicht.
Deze posting is gelocked. Reageren is niet meer mogelijk.