Magecart Plants Skimmers de tarjetas a través de Previous Magento …



El FBI ha advertido a los sitios de comercio electrónico sobre los ataques dirigidos a una falla de más de tres años en el importador masivo Magmi.

Los ciberdelincuentes que operan bajo el grupo paraguas Magecart están explotando una vieja vulnerabilidad en un complemento de Magento para insertar malware de robo de datos de tarjetas de crédito en sitios creados en la plataforma de comercio electrónico.

En una alerta a principios de este mes, el FBI describió los últimos ataques como involucrados CVE-2017-7391, una vulnerabilidad de secuencias de comandos de sitios cruzados de tres años de antigüedad en el importador en masa Magmi .7.22 para Magento.

Según el FBI, los atacantes violaron un sitio de comercio electrónico Magento de EE. UU. A través del complemento vulnerable y colocaron código JavaScript malicioso en las páginas de pago donde los usuarios envían datos de tarjetas de pago e información personal. Los atacantes también recuperaron credenciales de administrador y descargaron shells website que les permitieron instalar otro malware y mantener una presencia persistente en el sitio.

El malware permitió a los atacantes recopilar datos de tarjetas de pago y otra información perteneciente a los titulares de tarjetas, como sus nombres, direcciones de correo electrónico, direcciones físicas y números de teléfono. Los delincuentes cifraron los datos robados y los almacenaron en un archivo de volcado JPEG que habían creado. Más tarde utilizaron el shell website para extraer el archivo de volcado utilizando solicitudes HTTP GET, dijo el FBI.

los alerta proporcionó indicadores de compromiso que las organizaciones que ejecutan Magento podrían usar para proteger su sitio contra los ataques de Magecart.

Amenaza generalizada

Magecart es un término general para una colección de al menos siete grupos separados que han estado colocando skimmers de tarjetas en línea en cientos de miles de sitios de comercio electrónico en todo el mundo durante los últimos años. Algunas estimaciones han vinculado el número de sitios que los actores de Magecart han comprendido en más de dos millones.

En muchos casos, los skimmers han estado compuestos de piezas muy pequeñas de código JavaScript inyectadas en complementos vulnerables y otros componentes de terceros en sitios de comercio electrónico. Por lo general, el malware ha funcionado capturando datos de tarjetas de pago y otros datos de identificación personal que los usuarios ingresan en las páginas de pago y luego transmitiendo los datos a sistemas remotos controlados por atacantes.

Hank Schless, gerente senior de soluciones de seguridad en Lookout, dice que el malware que roza la tarjeta que Magecart inyecta en los sitios internet puede ser difícil de detectar. «Al igual que una versión troyanizada de una aplicación móvil legítima que aparece en una tienda de aplicaciones o un texto supuestamente de su banco con una URL de aspecto standard, los actores maliciosos siempre buscan formas de arrojar la menor cantidad de banderas rojas posible», dice.

Con la mayoría de las personas trabajando desde casa y realizando muchas más transacciones en línea que antes debido a la pandemia COVID-19, se espera que los malos actores como Magecart aumenten su actividad maliciosa, dice Schless.

«Magecart es un ejemplo perfecto de actores de amenazas que explotan un panorama de riesgo cambiante contra el cual los equipos de TI y seguridad se han visto obligados a protegerse», dice. El entorno hace necesario que las organizaciones bloqueen todas las extensiones de la crimson corporativa, desde plataformas de pago hasta dispositivos móviles para empleados, dice Schless.

Alex Guirakhoo, líder del equipo de investigación de amenazas en Electronic Shadows, dice que el aumento de la actividad en línea como resultado de COVID-19 ha dado a los atacantes una mayor superficie de ataque. Según Guirakhoo, los ciberdelincuentes en foros clandestinos han estado discutiendo activamente formas de aprovechar el mayor tráfico de consumidores en los sitios de comercio electrónico para ocultar su actividad maliciosa.

«Para mitigar los ataques de inyección de código, las organizaciones deben asegurarse de monitorear cualquier cambio de código no autorizado, particularmente en las páginas de pago de las plataformas de comercio electrónico», señala Guirakhoo. «Las organizaciones también deben monitorear cualquier vulnerabilidad divulgada públicamente que afecte a cualquiera de sus plataformas de comercio electrónico de terceros».

Contenido relacionado:

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más tips





Enlace a la noticia initial