0
0
Na maior campanha de hackers automatizados contra sites magento, os atacantes comprometeram quase 2.000 lojas online neste fim de semana para roubar cartões de crédito.
A Adobe Magento é uma plataforma popular de comércio eletrônico que permite que os sites criem rapidamente uma loja online para vender seus produtos e aceitar cartões de crédito.
Devido a isso, o Magento é comumente alvo de hackers para instalar scripts JavaScript que roubam cartões de crédito dos clientes.
Devido a isso, o Magento é comumente alvo de hackers para instalar scripts JavaScript que roubam cartões de crédito dos clientes.
Esses tipos de ataques são chamados de MageCart e se tornaram um problema grande o suficiente para o Magento que a VISA emitiu um aviso instando os comerciantes a migrarem sites de comércio eletrônico para o Magento 2.x mais seguro,
Maior hack automatizado magento
No fim de semana, a empresa de prevenção de skimming de cartão de crédito Sanguine Security (Sansec) detectou 1.904 lojas Magento que foram comprometidas nos últimos quatro dias.
O ataque começou na sexta-feira, quando dez lojas foram infectadas com um script de skimming de cartão de crédito não visto anteriormente em outros ataques.
O ataque aumentou no sábado com 1.058 sites hackeados, mais 603 no domingo e outros 233 hoje.
De acordo com Willem de Groot, fundador da Sanguine Security, este é o maior ataque automatizado do Magento que eles viram desde que começaram a monitorar lojas de comércio eletrônico em 2015.
“Essa campanha automatizada é de longe a maior que a Sansec identificou desde que começou a ser monitorada em 2015. O recorde anterior era de 962 lojas hackeadas em um único dia em julho do ano passado”, afirmou De Groot em um relatório divulgado hoje.
O ataque de MageCart
Das lojas hackeadas, a maioria era magento versão 1, que não recebe mais atualizações de segurança desde junho de 2020, quando chegou ao fim do suporte.
Quando comprometido, De Groot disse ao BleepingComputer que os atacantes instalariam um web shell PHP chamado mysql.php que lhes permitiu ter acesso total à conta comprometida.
“IOCs: 92.242.62[.] 210 mysql.php (webshell) A partir de segunda-feira, a Sansec terminou de investigar uma das lojas comprometidas. O attacker(s) usou o ip 92.242.62[.] baseado nos EUA 210 para interagir com o painel de administração Magento e usou o recurso “Magento Connect” para baixar e instalar vários arquivos, incluindo um backdoor chamado mysql.php. Esse arquivo foi automaticamente excluído depois que o código malicioso foi adicionado ao prototype.js”, disse De Groot ao BleepingComputer em uma conversa.
Usando esse acesso, os invasores instalaram o JavaScript para carregar o código de roubo de cartão de crédito malicioso de mcdnn.net/122002/assets/js/widget.js quando um visitante está em uma página de checkout.
Quando as informações de pagamento são enviadas, os detalhes de pagamento do script são coletados e enviados para a URL https://imags.pw/502.jsp sob o controle do invasor.
Para sites comprometidos da versão 1 do Magento, o script malicioso foi adicionado ao arquivo prototype.js. Para os sites magento 2, ele foi adicionado a um arquivo jquery.js escondido no código.
Uma vulnerabilidade de zero-day possivelmente usada em ataques
Ainda não se sabe como esse ataque está sendo conduzido, mas a Sansec acredita que os sites magento 1 podem ser hackeados usando uma vulnerabilidade de zero-day vendida em fóruns de hackers.
Em 15 de agosto, um ator de ameaças chamado z3r0day começou a vender explorações por um dia zero e duas vulnerabilidades recentemente corrigidas em Magento 1 por US $ 5.000. Esta venda só estava sendo feita para um total de dez pessoas.
A Sansec continua a investigar os ataques para determinar como os sites foram hackeados, mas aconselha todos os usuários do Magento a atualizar para o Magento 2 para uma melhor proteção.
Para ajudar a mitigar ataques como esses, a Sansec recentemente fez uma parceria com a Adobe para fornecer assinaturas de vulnerabilidade a serem incluídas na ferramenta Magento Security Scan.
“A Adobe fez uma parceria com a Sansec, uma empresa líder em segurança especializada em ajudar a prevenir o skimming digital. Por meio dessa parceria, a Adobe adicionará cerca de 9.000 assinaturas de malware e vulnerabilidade à ferramenta Magento Security Scan. Cada uma dessas assinaturas passou por um processo de teste e validação de vários palcos antes de serem adicionadas à ferramenta de digitalização. Toda semana, a equipe de pesquisa da Sanguine Security analisa de 200 a 300 ataques conhecidos no comércio eletrônico. Essas informações produzem um fluxo valioso de possíveis vetores de ataque e indicadores de compromisso (IOCs). Esses dados são continuamente alimentados como assinaturas de ameaças em nossa ferramenta aprimorada de varredura de segurança, levando a aproximadamente 300 novas assinaturas adicionadas mensalmente.”
Com a adição das assinaturas da Sansec, o Magento pode mitigar certos ataques HTML+JS em tempo real à medida que os ataques ocorrem.
FONTE: BLEEPING COMPUTER