Rethinking-Cybersecurity-770x300 (1).jpg

Miles de sitios Magento infectados (Descodificación de tarjetas)

Security BoulevardSaturday, 1 September 2018

En los últimos seis meses, un grupo de hackers ha logrado entrar en más de 7,000 tiendas en línea basadas en Magento y les ha infectado con código malicioso que les roba la información de la tarjeta de pago a los clientes.

Según el consultor de seguridad Willem de Groot, que ha estado rastreando los hacks, el código JavaScript malicioso inyectado en los sitios web captura y envía las pulsaciones de teclas de los usuarios en tiempo real a un dominio llamado Magentocore.net, registrado en Moscú.

El grupo ha convertido 7,339 tiendas individuales en máquinas de dinero zombie, en beneficio de sus ilustres maestros, dijo de Groot en una publicación de blog. El tiempo promedio de recuperación es de unas pocas semanas, pero al menos 1,450 tiendas han hospedado el parásito MagentoCore.net durante los últimos 6 meses.

Según los propios escaneos del investigador, el grupo ha logrado comprometer un promedio de 50 a 60 tiendas nuevas por día en las últimas dos semanas y utiliza principalmente ataques de adivinación de contraseñas de fuerza bruta que a veces pueden continuar durante meses.

Las cuentas administrativas con contraseñas débiles o reutilizadas que se han visto comprometidas en otras infracciones son un riesgo de seguridad particularmente grande para los sitios web. De hecho, una vez que el malware MagentoCore esté instalado en un sitio web, periódicamente cambiará las contraseñas para un número de nombres de usuario de administrador predefinidos a un valor codificado. Esto permitirá que los piratas informáticos entren de nuevo si se limpia el malware, pero las contraseñas de administrador no se han restablecido.

El malware también tiene otro mecanismo de recuperación en forma de puerta trasera instalada en el cron.php del sitio, un mecanismo de tareas programadas. Este backdoor vuelve a descargar y ejecuta un script de infección periódicamente y, como parte de la cadena de infección, MagentoCore busca y elimina otros códigos maliciosos de los grupos ciberdelincuentes que compiten.

Los administradores pueden verificar si sus sitios han sido infectados con MagentoCore usando el Magento Malware Scanner de código abierto que fue desarrollado por de Groot y también es recomendado por el equipo de seguridad de Magento.

Según el investigador, si se encuentra una infección, los administradores deberían determinar cómo los atacantes obtuvieron acceso no autorizado en primer lugar analizando los re

…Para leer más, siga el link del idioma que prefiera

Tags: magento, seguridad, blog, malware

Clickee para leer el artículo en InglésClickee para leer el artículo en Español