Mais de 2.800 lojas executando Magento desatualizado tiveram dados de cartão de crédito roubados

Uma onda de ataques cibernéticos contra varejistas que executam a plataforma de comércio eletrônico Magento 1.x no início de setembro foi atribuída a um único grupo, de acordo com a última pesquisa.

“Este grupo realizou um grande número de ataques Magecart diversos que muitas vezes comprometem um grande número de sites de uma só vez por meio de ataques à cadeia de suprimentos, como o incidente Adverline , ou pelo uso de explorações, como nos comprometimentos do Magento 1 em setembro” disse em uma análise publicada hoje.

Coletivamente chamados de Cardbleed , os ataques tiveram como alvo pelo menos 2.806 vitrines online executando Magento 1.x, que atingiu o fim de vida em 30 de junho de 2020.

Injetar e-skimmers em sites de compras para roubar detalhes de cartões de crédito é um modus operandi experimentado e testado do Magecart, um consórcio de diferentes grupos de hackers que visam sistemas de carrinho de compras online.

Esses skimmers virtuais de cartão de crédito, também conhecidos como ataques de roubo de formulários , são normalmente códigos JavaScript que os operadores inserem furtivamente em um site de comércio eletrônico, muitas vezes em páginas de pagamento, com a intenção de capturar os detalhes do cartão dos clientes em tempo real e transmiti-los para um servidor remoto controlado por um invasor.

Mas nos últimos meses, os operadores do Magecart intensificaram seus esforços para ocultar o código do ladrão de cartões dentro de metadados de imagens e até mesmo realizar ataques homográficos de IDN para plantar skimmers da web escondidos em um arquivo favicon de um site.

Cardbleed, que foi documentado pela primeira vez pela Sansec, funciona usando domínios específicos para interagir com o painel de administração do Magento e, posteriormente, aproveitando o recurso ‘Magento Connect’ para baixar e instalar um malware chamado “mysql.php” que é excluído automaticamente após o o código do skimmer é adicionado a “prototype.js.”

Agora, de acordo com o RiskIQ, os ataques carregam todas as marcas de um único grupo que ele rastreia como Magecart Group 12 com base em sobreposições de infraestrutura e técnicas em diferentes ataques, começando com o Adverline em janeiro de 2019 para os Revendedores de Ingressos Olímpicos em fevereiro de 2020

Além do mais, o skimmer usado nos compromissos é uma variante do skimmer Ant and Cockroach observado pela primeira vez em agosto de 2019 – assim chamado devido a uma função rotulada “ant_cockcroach ()” e uma variável “ant_check” encontrada no código.

Curiosamente, um dos domínios (myicons [.] Net) observado pelos pesquisadores também vincula o grupo a outra campanha em maio, onde um arquivo favicon Magento foi usado para ocultar o skimmer nas páginas de pagamento e carregar um formulário de pagamento falso para roubar em formação.

Mas, assim que os domínios maliciosos identificados estão sendo retirados, o Grupo 12 tem sido adepto da troca de novos domínios para continuar a clonagem.

“Desde que a campanha [Cardbleed] foi divulgada, os invasores mudaram sua infraestrutura”, disseram os pesquisadores do RiskIQ. “Eles moveram para carregar o skimmer do ajaxcloudflare [.] Com, que também está ativo desde maio e transferiu a exfiltração para um domínio registrado recentemente, consoler [.] In.”

De qualquer forma, os ataques são mais uma indicação de que os agentes de ameaças continuam inovando, jogando com diferentes maneiras de realizar skimming e ofuscando seu código para evitar a detecção, disse o pesquisador de ameaças da RiskIQ, Jordan Herman.

“O estímulo para essa pesquisa foi o amplo comprometimento do Magento 1, que chegou ao fim da vida útil em junho deste ano, por meio de um exploit”, disse Herman. “Portanto, a atenuação específica seria atualizar para o Magento 2, embora o custo de atualização possa ser proibitivo para fornecedores menores.”

“Há também uma empresa chamada Mage One que continua a dar suporte e corrigir o Magento 1. Eles lançaram um patch para atenuar a vulnerabilidade explorada pelo ator no final de outubro. Em última análise, a melhor maneira de prevenir esses tipos de ataques é por e – lojas de comércio com um inventário completo do código em execução em seu site para que possam identificar versões obsoletas de software e quaisquer outras vulnerabilidades que possam causar um ataque Magecart “, acrescentou.

Fonte: https://thehackernews.com/2020/11/over-2800-e-shops-running-outdated.html