Recientemente se descubrió que cerca de 500 sitios web de comercio electrónico estaban comprometidos por piratas informáticos que instalaron un skimmer de tarjetas de crédito que robaba subrepticiamente datos confidenciales cuando los visitantes intentaban realizar una compra.
A informe publicado el martes es solo el último que involucra a Magecart, un término genérico que se le da a los grupos criminales que compiten y que infectan los sitios de comercio electrónico con skimmers. En los ultimos años, miles de sitios Ha estado golpear por exploits que hacen que ejecuten código malicioso. Cuando los visitantes ingresan los detalles de la tarjeta de pago durante la compra, el código envía esa información a los servidores controlados por el atacante.
Fraude cortesía de Naturalfreshmall[.]com
Sansec, la firma de seguridad que descubrió el último lote de infecciones, dijo que todos los sitios comprometidos cargaban scripts maliciosos alojados en el dominio naturalfreshmall.[.]com.
“El skimmer de Natural Fresh muestra una ventana emergente de pago falso, lo que anula la seguridad de un formulario de pago alojado (que cumple con PCI)”, investigadores de la firma escribió en Twitter. “Los pagos se envían a https://naturalfreshmall[.]com/pago/Pago.php.”
Luego, los piratas informáticos modificaron los archivos existentes o plantaron nuevos archivos que proporcionaron no menos de 19 puertas traseras que los piratas informáticos podrían usar para mantener el control de los sitios en caso de que se detectara y eliminara el script malicioso y se actualizara el software vulnerable. La única forma de desinfectar completamente el sitio es identificar y eliminar las puertas traseras antes de actualizar el CMS vulnerable que permitió que el sitio fuera pirateado en primer lugar.
Sansec trabajó con los administradores de los sitios pirateados para determinar el punto de entrada común utilizado por los atacantes. Los investigadores finalmente determinaron que los atacantes combinaron un exploit de inyección SQL con un ataque de inyección de objetos PHP en un complemento de Magento conocido como Vista rápida. Los exploits permitieron a los atacantes ejecutar código malicioso directamente en el servidor web.
Lograron la ejecución de este código abusando de Quickview para agregar una regla de validación al customer_eav_attribute table e inyectando una carga útil que engañó a la aplicación host para que creara un objeto malicioso. Luego, se registraron como un nuevo usuario en el sitio.
“Sin embargo, simplemente agregarlo a la base de datos no ejecutará el código”, investigadores de Sansec explicado. “Magento realmente necesita deserializar los datos. Y ahí está la astucia de este ataque: al usar las reglas de validación para nuevos clientes, el atacante puede desencadenar una anulación de la serialización simplemente navegando por la página de registro de Magento”.
No es difícil encontrar sitios que permanecen infectados más de una semana después de que Sansec informara por primera vez sobre la campaña en Twitter. En el momento en que se publicaba esta publicación, Bedexpress[.]com continuó conteniendo este atributo HTML, que extrae JavaScript del rogue naturalfreshmall[.]dominio com.
Los sitios pirateados ejecutaban Magento 1, una versión de la plataforma de comercio electrónico que se retiró en junio de 2020. La apuesta más segura para cualquier sitio que aún use este paquete obsoleto es actualizar a la última versión de Adobe Commerce. Otra opción es instalar parches de código abierto disponibles para Magento 1 utilizando el software DIY del abrir mago proyecto o con apoyo comercial de Mago uno.
Por lo general, es difícil para las personas detectar los skimmers de tarjetas de pago sin una capacitación especial. Una opción es utilizar un software antivirus como Malwarebytes, que examina en tiempo real el código JavaScript que se muestra en un sitio web visitado. Es posible que las personas también deseen mantenerse alejadas de los sitios que parecen estar usando software obsoleto, aunque eso no es una garantía de que el sitio sea seguro.