Clicky

Más de 2.800 tiendas electrónicas que ejecutan software obsoleto de Magento golpeadas por hackers de tarjetas de crédito

Magecart

Colectivamente llamados Cardbleed, inyectan e-skimmers en sitios web de compras para robar detalles de tarjetas de crédito

Una ola de ataques cibernéticos contra los minoristas que ejecutan la plataforma de comercio electrónico Magento 1.x a principios de septiembre se ha atribuido a un solo grupo, según la última investigación.

"Este grupo ha llevado a cabo una gran cantidad de diversos ataques Magecart que a menudo comprometen un gran número de sitios web a la vez a través de ataques a la cadena de suministro, como el incidente de Adverline, o mediante el uso de exploits como en los compromisos de Magento 1 de septiembre", dijo RiskIQ en un análisis publicado hoy.

Colectivamente llamados Cardbleed, los ataques se dirigieron al menos a 2.806 escaparates en línea que ejecutaban Magento 1.x, que llegó al final de su vida útil el 30 de junio de 2020.

Inyectar e-skimmers en sitios web de compras para robar detalles de tarjetas de crédito es un modus operandi probado de Magecart, un consorcio de diferentes grupos de piratas informáticos que se enfocan en los sistemas de carritos de compras en línea.

Estos skimmers de tarjetas de crédito virtuales, también conocidos como ataques de formjacking, suelen ser código JavaScript que los operadores insertan sigilosamente en un sitio web de comercio electrónico, a menudo en páginas de pago, con la intención de capturar los detalles de las tarjetas de los clientes en tiempo real y transmitirlos a un servidor remoto controlado por un atacante.

Magecart código

Pero en los últimos meses, los operadores de Magecart han intensificado sus esfuerzos para ocultar el código del ladrón de tarjetas dentro de los metadatos de la imagen e incluso llevar a cabo ataques homógrafos IDN para plantar skimmers web ocultos en el archivo de favicon de un sitio web.

Cardbleed, que fue documentado por primera vez por Sansec, funciona mediante el uso de dominios específicos para interactuar con el panel de administración de Magento y, posteriormente, aprovecha la función 'Magento Connect' para descargar e instalar un malware llamado "mysql.php" que se elimina automáticamente después de que el código del skimmer se agrega a "prototype.js".

Ahora, según RiskIQ, los ataques tienen todos los sellos distintivos de un solo grupo que rastrea como Magecart Group 12 en función de las superposiciones en la infraestructura y las técnicas en diferentes ataques, desde Adverline en enero de 2019 hasta los revendedores de entradas para los Juegos Olímpicos en febrero de 2020.

Además, el skimmer utilizado en los compromisos es una variante del skimmer de hormigas y cucarachas observado por primera vez en agosto de 2019, llamado así por una función etiquetada "ant_cockcroach ()" y una variable "ant_check" que se encuentra en el código.

Curiosamente, uno de los dominios (myicons [.] Net) observados por los investigadores también vincula al grupo con otra campaña en mayo, donde se utilizó un archivo de favicon de Magento para ocultar el skimmer en las páginas de pago y cargar un falso formulario de pago para robar capturado información.

Pero justo cuando se están eliminando los dominios maliciosos identificados, el Grupo 12 ha sido experto en intercambiar nuevos dominios para seguir robando.

Magecart sploit

"Desde que se publicitó la campaña [Cardbleed], los atacantes han barajado su infraestructura", dijeron los investigadores de RiskIQ. "Se movieron para cargar el skimmer de ajaxcloudflare [.] Com, que también ha estado activo desde mayo y trasladaron la exfiltración a un dominio registrado recientemente, consoler [.] In".

En todo caso, los ataques son otro indicio de que los actores de amenazas continúan innovando, jugando con diferentes formas de realizar skimming y ofuscando su código para evadir la detección, dijo el investigador de amenazas de RiskIQ, Jordan Herman.

"El motivo de esta investigación fue el compromiso generalizado de Magento 1, que dejó de funcionar en junio, los sitios a través de un exploit", dijo Herman. "Entonces, la mitigación particular sería actualizar a Magento 2, aunque el costo de la actualización podría ser prohibitivo para los proveedores más pequeños".

"También hay una empresa llamada Mage One que continúa apoyando y parcheando Magento 1. A fines de octubre lanzaron un parche para mitigar la vulnerabilidad particular explotada por el actor. En última instancia, la mejor manera de prevenir este tipo de ataques es por e -Tiendas de comercio que tienen un inventario completo del código que se ejecuta en su sitio para que puedan identificar las versiones obsoletas del software y cualquier otra vulnerabilidad que pueda invitar a un ataque Magecart", agregó.

Jesus_Caceres