Comprometidas más de 2.000 webs de comercio electrónico que usan Magento

Al parecer han estado produciendo ataques automatizados a páginas web de eCommerce que utilizaban la plataforma Magento para robar datos de tarjetas bancarias.

Se han detectado ataques en más de 2.000 tiendas electrónicas que estaban haciendo uso del software Magento. Los ataques se habrían realizado en los últimos meses, aunque se encuentran afectadas tanto tiendas con versión 1 como tiendas como la versión 2 de Magento.

Los atacantes consiguen ejecutar código PHP malicioso en el servidor en el que se encuentra instalado Magento. Utilizan una webshell PHP con el nombre ‘mysql.php‘ que permite a los atacantes modificar diferentes ficheros JavaScript para inyectar su código malicioso según la versión de la tienda:

  • jquery.js: En la versión 1 de Magento.
  • prototype.js: En la versión 2 de Magento.

El código que se añade en esos ficheros únicamente se encarga de cargar el código malicioso que se encuentra alojado en otro servidor controlado por el atacante. La URL del fichero JavaScript malicioso cargado es: mcdnn[.]net/122002/assets/js/widget.js.

Malicious MageCart JavaScript
Código malicioso añadido a los ficheros de la web para cargar dinámicamente el payload

En widget.js se encuentra el código encargado de robar los datos de la tarjeta de crédito del cliente durante el proceso de pago. Los datos robados se envían a la URL https://imags.pw/502.jsp, que se encuentra en un servidor controlado por el atacante.

Hasta ahora se desconoce cuales han sido los vectores de entrada para lograr subir la webshell a los servidores comprometidos, aunque todo parece indicar que se trata de vulnerabilidades 0Day. En el caso de la versión 1 de Magento se vende un exploit en un foro underground por 5.000$, que podría ser la vulnerabilidad utilizada como vector de entrada.

Magento vulnerabilities for sale
Exploit en venta para la versión 1

En el caso de la versión 2 se desconoce cuál puede ser el vector de entrada, ya que no se han encontrado exploits a la venta. Los investigadores de Sanec que detectaron estos ataques siguen con la investigación para determinar el modo de acceso por parte de los atacantes.

Más información:

Fuente: https://www.bleepingcomputer.com/news/security/magento-stores-hit-by-largest-automated-hacking-attack-since-2015/

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.