Wie vor kurzem bekannt wurde, werden im großen Stil infizierte Skripte in Magento Shops eingebunden, die ein iFrame von der Seite guruincsite[Point]com in die Shopseite integrieren. Mit dem Schadskript können Nutzerrechner mit dem Neutrino-Exploit-Kit infiziert werden, welches dann unter anderem sensible Daten wie Logins und Zahldaten ausliest aber auch den Computer in ein Botnetz einspannen kann.
Google setzt infizierte Seiten automatisch auf seine Blacklist, die Tag für Tag länger wird. Aktuell (20.10.2015) sind bereits über 8500 Seiten mit diesem Skript auf der Liste. Selbstverständlich ist davon auszugehen, dass mehr Seite infiziert sind, die noch nicht von Google identifiziert wurden.
Es gibt aktuell zwei verschiedene Versionen des Schadskriptes. Ein uncodiertes und ein codiertes. Mehr Informationen gibt es auch ICI.
Wir haben ein Tool erstellt, welches die eigene Magento-Installation auf das Schadskript durchsucht und im Falle eines Fundes den Fundort anzeigt. Dieses Tool kann kostenlos ICI heruntergeladen werden.
