Los investigadores de seguridad cibernética han descubierto
este fin de semana pasado que más de 2000 tiendas electrónicas que hacían uso
del software Magento. Se han visto afectadas tiendas tanto con la versión 1
como la versión 2 de Magento.
El fundador de
Sanguine Security (SanSec) Willem de Groot, informo que el viernes fueron
infectadas 10 tiendas, el sábado 1058, 603 el domingo y por último 233 el lunes
de esta misma semana. El fundador agregó que esta es la campaña más grande que
han detectado desde Sansec desde que esta empezó a monitorear en 2015, siendo
el récord anterior 962 tiendas hackeadas.
Los atacantes utilizan una webshell PHP con el nombre ‘mysql.php’
en el servidor donde se encuentra instalado Magento, que permite a los
atacantes modificar el código JavaScript con la finalidad de inyectar código malicioso.
Dependiendo la versión utilizada del software en la tienda se inyecta o bien jquery.js
en la versión 1 o prototype.js en la versión 2.
La única finalidad que tiene el código inyectado es cargar otro
código malicioso que se encuentra en un servidor alojado por el atacante. El
fichero JavaScript malicioso se encarga de cargar la siguiente URL: mcdnn[.]net/122002/assets/js/widget.js.
El archivo widget.js es el encargado de ejecutar el código
que robara los datos de la tarjeta de crédito a los usuarios durante el proceso
de pago y enviara estos datos robados a la URL https://imags.pw/502.jsp, una URL que se
encuentra en un servidor controlado por el atacante.
Aunque por ahora no se sabe bien como irrumpir los atacantes,
el mes pasado se publico en foros de hacking clandestinos anuncios de
vulnerabilidad de día cero en Magento 1.x. En el anuncio el usuario con nombre z3r0day,
ofrecía un exploit de ejecución remota de código por 5 mil euros. En cuanto a
la versión 2 se desconoce cual puede ser el vector de entrada, ya que no se han
encontrado exploits a la venta.