Están intentando robar las tarjetas de crédito almacenadas en instalaciones de Magento

Los datos almacenados por las tiendas electrónicas se han convertido en algo muy codiciado por hackers y cibercriminales, que buscan debilidades y fallos de seguridad en ese tipo de CMS para hacerse, sobre todo, con los datos de pago y las contraseñas de los usuarios.

Eso es lo que está pasando con Magento, e-commerce que según la empresa de ciberseguridad Sucuri está captando la atención de hackers que intentar robar datos como tarjetas de crédito y credenciales de PayPal. Siendo más concretos, hay un agente que se dedica a infectar sitios web Magento con un ladrón de tarjetas de crédito.

Uno de los métodos empleados por los hackers para conseguir los datos mencionados en el párrafo anterior consiste en añadir código adicional en la instalación del CMS. Los investigadores de Sucuri han descubierto una función sospechosa llamada “patch()” en el fichero “includes/config.php”, que nunca debe ser modificado de forma directa por el usuario por cuestiones de seguridad. Las invocaciones a la mencionada función se dedican a escribir contenido obtenido de fuentes externas en archivos específicos relacionados con el proceso de pago o el control de los usuarios.

/app/code/core/Mage/Payment/Model/Method/Cc.php
/app/code/core/Mage/Payment/Model/Method/Abstract.php
/app/code/core/Mage/Customer/controllers/AccountController.php
/app/code/core/Mage/Customer/controllers/AddressController.php
/app/code/core/Mage/Admin/Model/Session.php
/app/code/core/Mage/Admin/Model/Config.php
/app/code/core/Mage/Checkout/Model/Type/Onepage.php
/app/code/core/Mage/Checkout/Model/Type/Abstract.php

Los atacantes recurren a distintas vías para esconder enlaces externos de forma que no sean fáciles de detectar para las personas que carecen de los conocimientos necesarios. El código malicioso introducido ofusca enlaces externos de manera que una simple decodificación de reemplazo de variables en conjunto con la función base64 puede hacerlos legibles.

Un ejemplo de esto sería lo siguiente. Este es el código legítimo:

$link_a = $link.'YTGgAnrv'

Que pasaría a ser este otro, apuntando a Pastebin:

$link_a = 'hxxp://pastebin[.]com/raw/YTGgAnrv';

Esto quiere decir que el código malicioso ejecutado por el CMS atacado procede de Pastebin, una aplicación web que permite a sus usuarios subir pequeños textos, generalmente ejemplos de código fuente, para que estén visibles al público en general. Los expertos de Sucuri informan que se está usando este método para mantener un perfil bajo en los ataques y hacer su detección más difícil. Para dificultar la detección, los hackers incluyen la invocación “error_reporting(0);” para evitar el reporte de errores y así exponer la infección.

El código alojado en Pastebin forma parte del proceso de robo de información comprometedora como las tarjetas de crédito o las contraseñas de los usuarios, datos que luego son enviados a dominios externos para su procesamiento o venta.

Los expertos de Sururi recomiendan verificar el fichero “/includes/config.php” lo antes posible, algo a lo que hay sumar la comprobación de otros malware que puedan estar afectando a la instalación de Magento y que pueden incluir puertas traseras.