Tiendas de Magento afectadas por el mayor ciberataque automatizado desde 2015
En la campaña de hacking automatizado más grande contra sitios de Magento, los atacantes comprometieron casi 2,000 tiendas en línea. El incidente tuvo lugar este fin de semana y el objetivo era robar tarjetas de crédito.
Adobe Magento es una popular plataforma de comercio electrónico. La plataforma permite a los sitios web crear rápidamente una tienda en línea para vender sus productos y aceptar tarjetas de crédito.
Debido a esto, los hackers suelen atacar a Magento para instalar scripts de JavaScript que roban las tarjetas de crédito de los clientes.
Estos tipos de ataques se denominan MageCart y se han convertido en un problema lo suficientemente grande para Magento. Esto luego de que VISA emitió un aviso instando a los comerciantes a migrar los sitios de comercio electrónico al Magento más seguro 2.x.
El ciberataque de Magento automatizado más grande
Durante el fin de semana, la firma de prevención de robo de tarjetas de crédito Sanguine Security (Sansec) detectó 1,904 tiendas Magento atacadas. Las tiendas se vieron comprometidas durante los últimos cuatro días.
El ataque comenzó el viernes cuando diez tiendas fueron infectadas con un script de robo de tarjetas de crédito. El script no se había visto anteriormente en otros ataques.
El ataque se intensificó el sábado con 1,058 sitios hackeados, 603 más el domingo y 233 más hoy.
Según Willem de Groot, fundador de Sanguine Security, este es el ataque automatizado de Magento más grande que han visto. Esto desde que comenzaron a monitorear las tiendas de comercio electrónico en 2015.
“Esta campaña automatizada es, con mucho, la más grande que Sansec ha identificado desde que comenzó a monitorear en 2015. El récord anterior fue de 962 tiendas hackeadas en un solo día en julio del año pasado”, declaró de Groot en un informe publicado hoy.
Ataque MageCart
De las tiendas hackeados, la mayoría eran de la versión 1 de Magento. Es decir, la que ya no recibe actualizaciones de seguridad desde junio de 2020 cuando llegó al final del soporte.
Cuando un sitio es compromertido, Groot dijo que los atacantes instalan una shell web PHP llamado mysql.php. La shell les permitía obtener acceso completo a la cuenta comprometida.
“IOC: 92.242.62 [.] 210 mysql.php (webshell) A partir del lunes, Sansec ha terminado de investigar una de las tiendas comprometidas. Los atacantes utilizaron la ip 92.242.62[.]210 con sede en Estados Unidos para interactuar con el panel de administración de Magento. Ellos usaron la función “Magento Connect” para descargar e instalar varios archivos, incluida una puerta trasera llamada mysql.php. Este archivo se eliminó automáticamente después de que el código malicioso se agregó a prototype.js “, dijo Groot.
Con este acceso, los atacantes instalaron JavaScript para cargar código malicioso de robo de tarjetas de crédito desde mcdnn.net/122002/assets/js/widget.js. Esto cuando un visitante estaba en una página de pago.
Cuando se envía la información de pago, los detalles de pago del script se recopilan y se envían a la URL https://imags.pw/502.jsp. Esta URL está bajo el control del atacante.
Para los sitios comprometidos de la versión 1 de Magento, el script malicioso se agregó al archivo prototype.js. Para los sitios de Magento 2, se agregó a un archivo jquery.js oculto en el código.
Una vulnerabilidad de zero-day posiblemente utilizada en ataques
Actualmente no se sabe cómo se está llevando a cabo este ataque. No obstante, Sansec cree que los sitios de Magento 1 pueden ser hackeados utilizando una vulnerabilidad de zero-day vendida en foros de hackers.
El 15 de agosto, un actor de amenazas llamado z3r0day comenzó a vender exploits para un zero-day y dos vulnerabilidades recientemente parcheadas en Magento 1. El costo era de $5,000. Esta venta solo se estaba realizando a un total de diez personas.
Sansec continúa investigando los ataques para determinar cómo hackearon los sitios. Sin emabargo aconseja a todos los usuarios de Magento que se actualicen a Magento 2 para una mejor protección.
Para ayudar a mitigar ataques como estos, Sansec se ha asociado recientemente con Adobe. El fin es proporcionar firmas de vulnerabilidades que se incluirán con la herramienta Magento Security Scan.
“Adobe se ha asociado con Sansec, una empresa de seguridad líder que se especializa en ayudar a prevenir el skimming digital. A través de esta asociación, Adobe agregará alrededor de 9,000 firmas de malware y vulnerabilidades a la herramienta Magento Security Scan. Cada una de estas firmas se ha sometido a pruebas en varias etapas y proceso de validación antes de agregarse a la herramienta de análisis. Cada semana, el equipo de investigación de Sanguine Security analiza de 200 a 300 ataques de comercio electrónico conocidos. Esta información produce un flujo valioso de posibles vectores de ataque e indicadores de compromiso (IOC). Estos datos se incluyen continuamente como firmas de amenazas en nuestra herramienta Security Scan mejorada, lo que genera aproximadamente 300 nuevas firmas agregadas mensualmente”.
Con la adición de las firmas de Sansec, Magento puede mitigar ciertos ataques HTML+JS en tiempo real a medida que ocurren los ataques.