Fotografía de archivo de una mujer que usa una computadora portátil y una tarjeta de crédito para hacer una compra.

Alrededor de 500 sitios web de comercio electrónico se vieron comprometidos recientemente por piratas informáticos que instalaron un skimmer de tarjetas de crédito que robaba en secreto datos confidenciales cuando los visitantes intentaban realizar una compra.

Un informe publicado el martes es solo el último sobre Magecart, un término colectivo para los grupos criminales que compiten y que infectan sitios de comercio electrónico con skimmers. Miles de sitios web se han visto afectados por exploits en los últimos años, lo que ha provocado que ejecuten código malicioso. Cuando los visitantes ingresan los detalles de la tarjeta de pago durante la compra, el código envía esa información a los servidores controlados por el atacante.

Estafa cortesía de Naturalfreshmall[.] com

Sansec, la firma de seguridad que detectó el último lote de infecciones, dijo que todos los sitios web comprometidos cargaron scripts maliciosos alojados en el dominio naturalfreshmall.[.] com.

«El Natural Fresh Skimmer muestra una ventana emergente de pago falso que rompe la seguridad de un formulario de pago alojado (que cumple con PCI)», dijeron los investigadores de la compañía. escribióen Twitter. “Los pagos se enviarán a https://naturalfreshmall[.] com/pago/Pago.php.”

Luego, los piratas informáticos modificaron los archivos existentes o inyectaron nuevos archivos que proporcionaron no menos de 19 puertas traseras que los piratas informáticos podrían usar para mantener el control sobre los sitios web en caso de que se descubriera y eliminara el script malicioso y se actualizara el software vulnerable. La única forma de desinfectar completamente el sitio web es identificar y eliminar las puertas traseras antes de actualizar el CMS vulnerable que permitió que el sitio web fuera pirateado en primer lugar.

Sansec trabajó con los administradores de sitios web pirateados para determinar el punto de entrada común de los atacantes. Los investigadores finalmente descubrieron que los atacantes combinaron un exploit de inyección SQL con un ataque de inyección de objetos PHP en un complemento de Magento llamado Quickview. Los exploits permitieron a los atacantes ejecutar código malicioso directamente en el servidor web.

Lograron esta ejecución de código abusando de Quickview para agregar una regla de validación al customer_eav_attribute Tabla e inyección de una carga útil que engaña a la aplicación host para que cree un objeto malicioso. Luego se registraron como un nuevo usuario en el sitio.

«Sin embargo, si simplemente lo agrega a la base de datos, el código no se ejecutará», explicaron los investigadores de Sansec. “Magento tiene que deserializar los datos. Y ahí está la astucia de este ataque: al usar las nuevas reglas de validación del cliente, el atacante puede desencadenar una deserialización simplemente navegando por la página de inicio de sesión de Magento”.

No es difícil encontrar sitios web que permanecen infectados más de una semana después de que Sansec informara por primera vez sobre la campaña en Twitter. Cuando se publicó esta publicación, Bedexpress estaba[.] com todavía contenía este atributo HTML que extrae JavaScript del rogue naturalfreshmall[.] dominio com.

Los sitios web pirateados ejecutaban Magento 1, una versión de la plataforma de comercio electrónico que se suspendió en junio de 2020. La opción más segura para los sitios que aún usan este paquete obsoleto es actualizar a la última versión de Adobe Commerce. Otra opción es instalar parches de código abierto disponibles para Magento 1, ya sea con software DIY del proyecto OpenMage o con soporte comercial de Mage-One.

Por lo general, es difícil detectar los skimmers de tarjetas de pago sin una formación especial. Una forma es usar un software antivirus como Malwarebytes, que examina el JavaScript que se encuentra en un sitio web visitado en tiempo real. Las personas también deben mantenerse alejadas de los sitios web que parecen estar usando software obsoleto, aunque esto no es una garantía de que el sitio web sea seguro.



DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí