El investigador de seguridad Willem de Groot recientemente desenterrado el más exitoso (hasta aquí) campaña desnatado, en el centro de la cual es el skimmer MagentoCore. El skimmer ya ha infectado 7,339 tiendas de Magento en el último 6 meses, convirtiéndose así en la campaña más agresiva descubierta por los investigadores.
Los operadores de MagentoCore lograron comprometer miles de sitios web de comercio electrónico que se ejecutan en Magento, la inyección de la legra en su código fuente.
MagentoCore Skimmer: Que es apuntada?
Al parecer,, víctimas de este malware descremado son algunos de varios millones, empresas que cotizan en bolsa. Esto puede sugerir que la campaña es financieramente bastante éxito pero en realidad se trata de los clientes de estas empresas que tienen sus tarjetas y las identidades robadas.
"El promedio de recuperación es de unas semanas, pero al menos 1450 tiendas han acogido el parásito MagentoCore.net durante el pasado lleno 6 meses. El grupo aún no ha terminado: nuevas marcas son secuestrados a un ritmo de 50 a 60 tiendas por día durante las últimas dos semanas", dijo el investigador.
MagentoCore Skimmer: Como funciona?
Primero, el malware desnatado está ganando acceso al panel de control de la página web de comercio electrónico dirigido, en la mayoría de los casos a través de ataques de fuerza bruta. Una vez que la contraseña se rompe y el actor está en amenaza, una pieza incrustada de JavaScript se añade a la plantilla HTML.
La secuencia de comandos (apoyo) se encuentra grabando las pulsaciones de teclado de clientes desprevenidos y se envía todo en tiempo real al servidor MagentoCore, que está registrado en Moscú, el investigador descubrió.
El skimmer MagentoCore también contiene un mecanismo de recuperación, y también está diseñado para añadir una puerta trasera a cron.php. Esto se hace para que el malware se descarga periódicamente un código malicioso que se elimina por cuenta propia después de correr, sin huellas dejadas.
Más detalles técnicos:
– El archivo clean.json (apoyo) está en código PHP hecho de que está configurado para eliminar cualquier tipo de malware que compiten desde el sitio de destino, la búsqueda de ATMZOW, 19303817.js y PZ7SKD.
– El archivo clear.json (apoyo) está listo para cambiar la contraseña de varios nombres de usuario personal común a how1are2you3.
Cómo contrarrestar el MagentoCore Skimmer?
Groot tiene algunos bastante buenos consejos para los administradores que han sido afectadas por la campaña agresiva desnatado:
1. Encontrar el punto de entrada: ¿cómo podrían atacantes obtener acceso no autorizado en el primer lugar? Analizar los registros de acceso backend, correlacionar con el personal de IP y horas de trabajo típicos. Si se registra una actividad sospechosa de IPs personal, podría ser que un ordenador personal está infectado con malware, o que el atacante ha secuestrado una sesión autorizada.
2. Encuentra puertas traseras y los cambios no autorizados en el código base. Por lo general, hay unos pocos, tanto en frontend / código de fondo y la base de datos. Mi código abierto Magento escáner de malware puede ser útil aquí.
3. Una vez que haya establecido todos los medios de acceso no autorizado, cerrar todos a la vez.
4. Retire el skimmer, puertas traseras y otros códigos. Revertir a una copia de seguridad certificada de la base de código, si es posible. El malware a menudo se oculta en defecto de cabecera / pies de página HTML, sino también en minimizar, Javascript archivos estáticos, escondido en lo profundo de la base de código. Debe comprobar todos los activos HTML / JS que se cargan durante el proceso de pago.
5. Implementar procedimientos seguros que la cobertura oportuna aplicación de parches, contraseñas del personal etc.. Un buen punto de partida.
En febrero del año pasado, Willem de Groot analizó una pieza de otro software malicioso Magento evolucionado que era capaz de auto-sanación. Este proceso fue posible gracias a un código oculto en la base de datos del sitio Web de destino.
Este ejemplar de malware no fue el primero en colocar un código oculto en la base de datos de un sitio web, pero era de hecho el primero escrito en SQL como un procedimiento almacenado. Este malware era típicamente capaz de información de la tarjeta de usuario de cosecha, sino que también fue capaz de conservar en sí para el período de tiempo no especificado.