More than 7.339 individual e-commerce sites have been infected,
in the past six months, with the MagentoCore.net credit card skimmer, making the malicious script one of the most successful credit card threats. The infections are carried out by a single well-resourced cybercriminal group with global reach.
The theft of your identity and card data while shopping has existed for several years, but no campaign has been as prolific as the MagentoCore.net skimmer, according to independent malware hunter Willem de Groot: “The group has turned thousands of individual stores into zombie money machines, for the benefit of their illustrious creators”.
En cuanto a quiénes son esos ilustres maestros, de Groot le dijo a Threatpost por correo electrónico que sospecha que el grupo Magecart está detrás de él, que es el mismo equipo al que se adjudicó el robo de Ticketmaster a principios de año.
“Su servidor de recolección de datos está registrado en Moscú, pero no pude decir nada sobre su ubicación o nacionalidad, desafortunadamente”, nos dijo.
“La campaña de robo de datos está generalizada a nivel global y en curso”, Said, según las investigaciones de De Groot, nuevas tiendas están siendo utilizadas al ritmo alarmante de 50 to 60 por día.
In addition, el problema parece ser bastante persistente: el tiempo promedio de recuperación es “unas pocas semanas”, Said, con al menos 1,450 sitios de comercio electrónico que hospedan el parásito MagentoCore.net durante los seis meses completos de su análisis.
“La lista de víctimas incluye compañías multimillonarias, que cotizan en bolsa, lo que sugiere que los operadores de malware obtienen grandes ganancias”, dijo en la publicación. “Pero las verdaderas víctimas son, At last, los clientes, a quienes les roban sus tarjetas e identidades”.
Los creadores de MageCart apuntan a las tiendas en línea que ejecutan WooCommerce desde WordPress y el software Magento, dijo a Threatpost, and “el vector de ataque es, en casi todos los casos recientes, forzando la contraseña de administrador”. Dijo que los delincuentes son pacientes, que intentan millones de contraseñas comunes de forma automática hasta que encuentren una que funcione, a menudo en el transcurso de unos pocos meses.
“Nuestro equipo de seguridad ha descubierto que alrededor de 5.000 usuarios de Magento de código abierto se vieron afectados por los ataques de fuerza bruta, en los que el malware de MagentoCore plantó skimmers en los sitios”, dijo un portavoz a Threatpost. “Una de las formas más comunes en que un sitio puede verse comprometido es mediante ataques de fuerza bruta, que funcionan usando contraseñas comunes o predeterminadas. No hay evidencia de que los clientes de Magento Enterprise se hayan visto afectados”.
Los atacantes también pueden obtener acceso no autorizado de un ordenador del personal que está infectado con malware, or by hijacking an authorized session using a vulnerability in the content management system (CMS).
Once the malware is installed, it tries to log the keystrokes of unsuspecting online shoppers, sending everything in real time to the malware server, registered in Moscow. MageCart has been seen recruiting mules to collect cash with the stolen card information, and De Groot said they can also sell such data on the black market among 5 and 30 dollars per card.
E-commerce site owners should actively audit their CMS, given the virulent nature of the campaign. Patches are, as usual, the best prevention, así como mantener actualizados tanto el software como el firmare de los dispositivos.
“In addition, recomendamos que todos los comerciantes se registren en nuestra herramienta de escaneo de seguridad para supervisar continuamente su sitio en busca de vulnerabilidades y malware”, dijo De Groot.