Usted puede pensar que estás a salvo después de haber eliminado el malware de su tienda en línea Magento infectada. Sin embargo, resulta que el famoso software malicioso Magecart, conocido para la recolección de datos de la tarjeta de crédito formas de pago y envío, re-infecta incluso después de la limpieza.
El investigador detrás de estos hallazgos es Willem de Groot que recientemente se descubrió la campaña más exitosa desnatado, impulsado por el skimmer MagentoCore. Ya en septiembre, el skimmer ya se había infectado 7,339 tiendas de Magento para un período de 6 meses, convirtiéndose así en la campaña más agresiva descubierta por los investigadores.
El mismo investigador es el desarrollador de la MageReport, un software malicioso y la vulnerabilidad de escáner en línea para las tiendas en línea. Según los Estados, en el último trimestre, 1 de 5 tiendas con brecha se infectaron (y limpiado) varias veces, algunos incluso hasta 18 veces.
Relacionado: MagentoCore: el más agresivo infecta Skimmer 60 Tiendas por Día
Al menos 40,000 Magecart-como infecciones descubiertas en 3 Años
El investigador ha rastreado infecciones similares a Magecart en al menos 40,000 dominios para los últimos tres años. Sus últimos hallazgos indican que durante agosto, Septiembre y octubre, el escáner MageReport se encontró con skimmers Magecart en más de 5,400 dominios. Algunas de estas infecciones resultaron ser bastante persistente, el gasto de hasta 12.7 días en los dominios infectados.
En la mayoría de los casos, sin embargo, los administradores de sitios web eliminado correctamente el código malicioso. Aún, el número de sitios de re-infección sigue siendo bastante grande - 21.3 ciento, con un gran número de nuevas infecciones que tienen lugar dentro del primer día o en una semana. El período promedio de una reinfección se estimó en 10.5 días.
¿Cuál es la razón de las reinfecciones? Como se explica en la Gran, hay varias razones que representan los casos de malware repetidas:
- Los operadores de Magecart menudo caen puerta trasera en tiendas hackeados y crear cuentas de administrador sin escrúpulos.
- Los operadores de malware utilizan mecanismos eficientes de reinfección, como trigger y tareas periódicas ocultos.
- Los operadores también utilizan técnicas de ofuscación para ocultar su código.
- Los operadores utilizan a menudo ataques de día cero para hackear sitios vulnerables.
Relacionado: Magecart hackers robó datos de tarjetas de pago Los clientes de STC
Historial de malware Magecart y descripción general de los ataques
Si bien los orígenes de Magecart se remontan a aproximadamente 2010, El primer ataque a gran escala supuestamente ocurrió en 2015, según lo documentado por Sansec. Esta empresa de ciberseguridad descubrió una revelación sorprendente: los ciberdelincuentes se habían infiltrado 3,500 tiendas en línea inyectando código malicioso en los encabezados o pies de página de las páginas del sitio de compras. El JavaScript inyectado identificó hábilmente los números de tarjetas de crédito ingresados en los formularios de pago y utilizó AJAX para duplicar y transmitir los datos del formulario a una ubicación controlada por los piratas informáticos..
Sorprendentemente, este compromiso permaneció activo durante seis meses antes de la detección, potencialmente exponiendo cientos de miles de tarjetas de crédito recolectadas. Después, Los atacantes de Magecart han perfeccionado continuamente sus métodos, incluido el lanzamiento de exploits dirigidos a herramientas de sitios web de terceros. En 2019, comprometieron herramientas como el complemento premium de optimización de conversión Picreel, incrustar su código para recopilar detalles de pago en miles de sitios web. Notablemente, Incluso Google Tag Manager ha sido explotado de forma similar..
En septiembre 2018, los operadores de Magecart lograron otro gran éxito, infiltrarse en los servidores seguros del popular sitio de Newegg. Todos los datos introducidos en el período entre agosto 14 y septiembre 18 fue afectado. Tanto los clientes de escritorio como los de dispositivos móviles se vieron comprometidos por la infracción.. Estadísticas reveló que el sitio cuenta con más de 50 millón de visitantes. El hecho de que el código digital de skimmer estaba disponible por un período significativo de tiempo da a los investigadores de seguridad razones para creer que millones de clientes fueron potencialmente afectados.
En febrero de 2017, el mismo investigador analizó una pieza de otro software malicioso Magento evolucionado que era capaz de auto-sanación. Este proceso fue posible gracias a un código oculto en la base de datos del sitio Web de destino.
¿Sigue existiendo el malware Magecart? 2023
Poco dicho, sí.
Una campaña de skimming web de Magecart identificada recientemente, caracterizado por su sofisticación y carácter encubierto, se ha dirigido específicamente a sitios web de Magento y WooCommerce. Notablemente, Las víctimas de esta campaña incluyen entidades afiliadas a importantes organizaciones de los sectores alimentario y minorista..
Basado en la evidencia descubierta, Parece que esta campaña ha estado operativa durante varias semanas., y en ciertos casos, incluso más largo. Lo que distingue a esta campaña es la utilización de una técnica de ocultación muy avanzada., sorprende a los expertos en ciberseguridad por su nivel de sofisticación sin precedentes.
La campaña subraya la evolución perpetua de las técnicas de navegación web.. Estos métodos van avanzando progresivamente en sofisticación., plantea mayores desafíos para la detección y mitigación a través del análisis estático y el escaneo externo, los investigadores dicen. Los actores de amenazas que operan en este campo innovan continuamente, Emplear métodos más efectivos para ocultar sus ataques dentro de los sitios web de las víctimas y eludir diversas medidas de seguridad diseñadas para exponerlos..
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: