Masiva presencia del Skimmer MagentoCore.

Más de 7.339 sitios individuales de comercio electrónico han sido infectados,

en los últimos seis meses, con el skimmer de tarjetas de crédito MagentoCore.net, convirtiendo al script malicioso en una de las amenazas más exitosas de las tarjetas de crédito. Las infecciones son realizadas por un solo grupo de ciberdelincuentes bien dotado de recursos con alcance global.

El robo de su identidad y los datos de su tarjeta mientras compra ha existido desde algunos años, pero ninguna campaña ha sido tan prolífica como el skimmer de MagentoCore.net, según el cazador de malware independiente Willem de Groot: «El grupo ha convertido miles de tiendas individuales en máquinas de dinero zombie, en beneficio de sus ilustres creadores».

En cuanto a quiénes son esos ilustres maestros, de Groot le dijo a Threatpost por correo electrónico que sospecha que el grupo Magecart está detrás de él, que es el mismo equipo al que se adjudicó el robo de Ticketmaster a principios de año.

«Su servidor de recolección de datos está registrado en Moscú, pero no pude decir nada sobre su ubicación o nacionalidad, desafortunadamente», nos dijo.

«La campaña de robo de datos está generalizada a nivel global y en curso», dijo, según las investigaciones de De Groot, nuevas tiendas están siendo utilizadas al ritmo alarmante de 50 a 60 por día.

Además, el problema parece ser bastante persistente: el tiempo promedio de recuperación es «unas pocas semanas», dijo, con al menos 1,450 sitios de comercio electrónico que hospedan el parásito MagentoCore.net durante los seis meses completos de su análisis.

«La lista de víctimas incluye compañías multimillonarias, que cotizan en bolsa, lo que sugiere que los operadores de malware obtienen grandes ganancias», dijo en la publicación. «Pero las verdaderas víctimas son, finalmente, los clientes, a quienes les roban sus tarjetas e identidades».

Los creadores de MageCart apuntan a las tiendas en línea que ejecutan WooCommerce desde WordPress y el software Magento, dijo a Threatpost, y «el vector de ataque es, en casi todos los casos recientes, forzando la contraseña de administrador». Dijo que los delincuentes son pacientes, que intentan millones de contraseñas comunes de forma automática hasta que encuentren una que funcione, a menudo en el transcurso de unos pocos meses.

«Nuestro equipo de seguridad ha descubierto que alrededor de 5.000 usuarios de Magento de código abierto se vieron afectados por los ataques de fuerza bruta, en los que el malware de MagentoCore plantó skimmers en los sitios», dijo un portavoz a Threatpost. «Una de las formas más comunes en que un sitio puede verse comprometido es mediante ataques de fuerza bruta, que funcionan usando contraseñas comunes o predeterminadas. No hay evidencia de que los clientes de Magento Enterprise se hayan visto afectados».

Los atacantes también pueden obtener acceso no autorizado de un ordenador del personal que está infectado con malware, o mediante el secuestro de una sesión autorizada utilizando una vulnerabilidad en el sistema de administración de contenido (CMS).

Una vez instalado el malware se trata de registrar las pulsaciones de teclas de los compradores en línea desprevenidos, enviando todo en tiempo real al servidor del malware, registrado en Moscú. Se ha visto a MageCart reclutando mulas para recaudar dinero en efectivo con la información de la tarjeta robada y De Groot dijo que también pueden vender dichos datos en el mercado negro entre 5 y 30 dólares por tarjeta.

Los propietarios de sitios de comercio electrónico deben auditar activamente su CMS, dada la naturaleza virulenta de la campaña. Los parches son, como de costumbre, la mejor prevención, así como mantener actualizados tanto el software como el firmare de los dispositivos.

«Además, recomendamos que todos los comerciantes se registren en nuestra herramienta de escaneo de seguridad para supervisar continuamente su sitio en busca de vulnerabilidades y malware», dijo De Groot.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Intec Cybersecurity
Intec Cybersecurity
intec cybersecurity