O pesquisador de segurança Willem de Groot recentemente desenterrado o mais bem sucedido (tão longe) campanha desnatação, no centro do que é o skimmer MagentoCore. O skimmer já infectou 7,339 lojas Magento no último 6 meses, tornando-se assim a campanha mais agressiva descoberta pelos pesquisadores.
Os operadores de MagentoCore conseguiram comprometer milhares de sites de comércio eletrônico rodando em Magento, injetando o raspador de cartão em seu código-fonte.
MagentoCore Skimmer: Quem é o alvo?
Pelo visto, as vítimas deste malware de skimming são alguns milhões, empresas de capital aberto. Isso pode sugerir que a campanha é financeiramente bem-sucedida, mas na verdade são os clientes dessas empresas que têm seus cartões e identidades roubados.
“O tempo médio de recuperação é de algumas semanas, mas pelo menos 1450 as lojas hospedaram o parasita MagentoCore.net durante todo o passado 6 meses. O grupo ainda não terminou: novas marcas são sequestradas em um ritmo de 50 para 60 lojas por dia nas últimas duas semanas”, disse o pesquisador.
MagentoCore Skimmer: Como funciona?
Primeiro, o malware de skimming está obtendo acesso ao painel de controle do site de comércio eletrônico direcionado, na maioria dos casos, por meio de ataques de força bruta. Assim que a senha for quebrada e o ator da ameaça estiver, uma parte incorporada de JavaScript é adicionada ao modelo HTML.
O roteiro (cópia de segurança) grava as teclas digitadas por clientes desavisados e envia tudo em tempo real para o servidor MagentoCore, que está registrado em Moscou, o pesquisador descobriu.
O skimmer MagentoCore também contém um mecanismo de recuperação, e também é projetado para adicionar um backdoor ao cron.php. Isso é feito para que o malware baixe periodicamente o código malicioso que é auto-excluído após a execução, sem vestígios restantes.
Mais detalhes técnicos:
– O arquivo clean.json (cópia de segurança) é na verdade um código PHP que é definido para remover qualquer malware concorrente do site de destino, procurando por ATMZOW, 19303817.js e PZ7SKD.
– O arquivo clear.json (cópia de segurança) está configurado para alterar a senha de vários nomes de usuários comuns da equipe para how1are2you3.
Como combater o Skimmer MagentoCore?
Groot tem alguns conselhos muito bons para administradores que foram afetados pela campanha agressiva de skimming:
1. Encontre o ponto de entrada: como os invasores podem obter acesso não autorizado em primeiro lugar? Analisar registros de acesso de back-end, correlacionar com IPs da equipe e horas de trabalho típicas. Se atividades suspeitas forem registradas nos IPs da equipe, pode ser que um computador da equipe esteja infectado com malware, ou que o invasor sequestrou uma sessão autorizada.
2. Encontre backdoors e alterações não autorizadas em sua base de código. Normalmente existem alguns, tanto no código frontend / backend quanto no banco de dados. Meu scanner de malware Magento de código aberto pode ser útil aqui.
3. Depois de estabelecer todos os meios de acesso não autorizado, feche todos de uma vez.
4. Remova o skimmer, backdoors e outro código. Reverta para uma cópia segura certificada da base de código, se possível. O malware costuma estar oculto em cabeçalhos / rodapés HTML padrão, mas também minimizado, arquivos Javascript estáticos, escondido no fundo da base de código. Você deve verificar todos os ativos HTML / JS que são carregados durante o processo de checkout.
5. Implementar procedimentos seguros que cobrem a correção oportuna, senhas fortes da equipe etc.. Um bom ponto de partida.
Em fevereiro do ano passado, Willem de Groot analisou um pedaço de outro malware Magento evoluído que era capaz de autocura. Este processo foi possível graças ao código oculto no banco de dados do site de destino.
Esta cepa de malware não foi a primeira a colocar código oculto no banco de dados de um site, mas foi de fato a primeira escrita em SQL como um procedimento armazenado. Esse malware normalmente era capaz de coletar informações do cartão do usuário, mas também foi capaz de se preservar por um período de tempo não especificado.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: