Casi 2000 tiendas en línea de Magento 1 pirateadas durante el fin de semana

Durante el fin de semana, más de 2000 tiendas Magento en todo el mundo fueron pirateadas en una campaña documentada más grande hasta la fecha. Estos ataques recuerdan al «estilo megacart», donde los atacantes comprometen un carrito de compras en línea, generalmente, con solo unas pocas líneas de código, que se utiliza para deslizar la tarjeta de los usuarios detallada ingresada por ellos. Estos detalles se envían luego al servidor de comando y control que pertenece a los delincuentes que pueden venderlos en la web oscura o utilizarlos para comprar artículos a través de medios fraudulentos.

Sansec, una empresa de seguridad especializada en ataques de megacart, confirmó más de 2000 ataques de Magento durante el fin de semana. Publicó un informe que detalla sobre el incidente, según el cual, el ataque se dirigió a las tiendas que usaban la versión 1 de Magento que ya no es compatible, que fue anunciada por Adobe, los propietarios y distribuidores de la plataforma, en junio del año pasado. El informe también indica que un total de 1904 tiendas se infectaron con un keylogger único que estaba robando datos de tarjetas utilizando las páginas de pago utilizadas por las tiendas en línea.

 La mayoría de las tiendas que se vieron comprometidas no tienen antecedentes de incidentes de seguridad anteriores. Por lo tanto, los atacantes podrían usar un método de ataque completamente nuevo para obtener acceso a los servidores utilizados por las tiendas. Este nuevo método no solo les otorgó acceso a los datos, sino que también escribió un nuevo código en sus páginas de pago. Es probable que se haya utilizado algún exploit desconocido y que se compre en un foro clandestino de piratas informáticos.

Sansec señala: “Aunque todavía estamos investigando el vector exacto, esta campaña puede estar relacionada con un (exploit) reciente de Magento 1 0day que se puso a la venta hace unas semanas. El usuario z3r0day anunció en un foro de piratería la venta de un método de explotación de “ejecución remota de código” de Magento 1, incluido el video de instrucciones, por $ 5000. Al parecer, no se requiere una cuenta de administrador previa de Magento. El vendedor z3r0day enfatizó que, debido a que Magento 1 está al final de su vida útil, Adobe no proporcionará parches oficiales para corregir este error, lo que hace que este exploit sea más dañino para los propietarios de tiendas que utilizan la plataforma heredada. Para endulzar el trato, z3r0day se comprometió a vender solo 10 copias del peligroso exploit «.

El atacante usó las IP 92.242.62.210 (EE. UU.) Y 91.121.94.121 (OVH, FR) que permite su interacción con el administrador de Magento y la función Magento Connect les permitió descargar e instalar varios archivos, incluido el malware mysql.php. Este archivo malicioso se eliminaría automáticamente una vez que se agregara al archivo prototype.js utilizado por Magento.

Los investigadores notaron que se hicieron varios intentos para instalar archivos durante el fin de semana, posiblemente para instalar el skimmer mejorado. Este skimmer también se puede instalar en el archivo prototype.js y se ejecuta cuando se hace referencia a la página de pago. El ataque se utilizó para robar información de tarjetas de crédito y para redirigir el pago más adelante. Los investigadores lograron rastrear hacia dónde se está filtrando el pago. Lo descubrieron en el mismo sitio alojado en Moscú en hxxps: //imags.pw/502.jsp donde se almacena el keylogger.

Oficialmente, Magento 1 fue etiquetado como al final de su vida útil a partir de 2020. Por lo tanto, no se recibieron actualizaciones de Adobe para todos los productos al final de su vida útil. Sin embargo, esos clientes fueron notificados sobre el caso y que iban a migrar a la versión 2. En ese momento, se estimaba que más de 270,000 tiendas estaban ejecutando la versión 1. A fines de 2019, este número se encontraba entre 200,000 y 240,000. Esta cifra era de aproximadamente 110.000 a finales de junio, cuando Adobe anunció oficialmente el fin de su vida útil. Mientras tanto, la compañía pospuso la fecha dos veces debido a esta lenta migración a la versión 2. De esos cientos de miles de tiendas que fueron vulnerables al ataque experimentaron bajos volúmenes de tráfico. Esto significa que no valdrían el tiempo de un hacker.

Como todo depende del usuario final o del cliente para evitar los atacantes de megacart, este fue el primer consejo preventivo que se dio en el momento en que se realizó el primer arresto observado asociado con ataques con tarjetas mágicas en Indonesia, en 2020:

«Para evitar grandes pérdidas financieras debido a JS-sniffers [ataques al estilo magecart], se recomienda que los usuarios en línea tengan una tarjeta prepaga separada para pagos en línea, establezcan límites de gasto en tarjetas, se utilicen para compras en línea o incluso utilicen una cuenta bancaria exclusivamente para compras online. Los comerciantes en línea, a su vez, deben mantener actualizado su software y realizar evaluaciones periódicas de ciberseguridad en sus sitios web «.

MasterCard y Visa emitieron alertas debido a un cambio lento a la versión 2. Visa advirtió que si los propietarios de las tiendas en línea no migran a la versión 1, se podría encontrar que no cumplen con PCI DSS, que rige cómo los comerciantes manejan los datos de la tarjeta y instituciones financieras. Es un caso muy devastador, ya que podrían ser directamente responsables de los daños que causen a sus clientes.

Si bien, las ramificaciones de la alerta de Mastercard no decían que el 77% del total de incidentes de skimming web eran de aquellas empresas que no cumplían con el requisito 6 de PCI DSS, la regla en la que se requiere que los propietarios de las tiendas cumplan con -sistemas de fecha. El incumplimiento de la norma tiene varios otros aspectos negativos para los propietarios de tiendas en línea, incluidas las multas mensuales que pueden oscilar entre 5, 000 USD y 100, 000 USD de diferentes categorías de negocios. Además, si se produce un incidente con respecto a cualquier incumplimiento y se considera que no cumple, se les pueden aplicar las siguientes sanciones:

  • Multas de 50 USD a 90 USD por titular de la tarjeta cuya información esté en peligro,
  • Terminación de la relación entre la empresa y el procesador de pagos,
  • Los clientes pueden nivelar las suites civiles en las empresas.

Por lo tanto, si todavía está usando la versión 1, es el momento de pasar a la versión 2 de Magento, ya que el exploit desconocido que se está utilizando no se parcheará.