Más de 350 sitios de comercio electrónico que ejecutan Magento 1 fueron atacados por la misma variedad de malware MageCart la semana del 31 de enero, un ataque de robo de tarjetas que explotó una fuga conocida en el complemento Quickview, según un informe del proveedor de seguridad Sansec.
Si bien la vulnerabilidad de Quickview «generalmente se abusa para inyectar a usuarios administradores de Magento deshonestos, en este caso el atacante usó la falla para ejecutar código directamente en el servidor», según Sansec.
Un total de 374 sitios de comercio electrónico fueron víctimas de un skimmer de pago cargado desde el dominio naturalfreshmall.com. «Los atacantes utilizaron una combinación inteligente de un ataque SQL Injection (SQLi) y PHP Object Injection (POI) para tomar el control de la tienda Magento», informó Sansec.
Los piratas informáticos dejaron 19 puertas traseras en el sistema, que podrían usarse para recuperar el control de un sitio si se detectaba el script malicioso y se actualizaba el software. “Es esencial eliminar cada uno de ellos, porque dejar uno en su lugar significa que su sistema se verá afectado nuevamente la próxima semana”, advirtió la compañía.
Se usó una carga útil de POI para engañar a la aplicación host de Magento para que creara un objeto malicioso, que luego se insertó al explotar las reglas de validación para el registro de nuevos clientes. Una vez que el hacker se registró, se ejecutó el código malicioso.
Si bien la empresa matriz Adobe retiró Magento 1 en junio de 2020 y, por lo tanto, ya no es compatible con actualizaciones y parches de seguridad, miles de sitios de comercio electrónico aún lo ejecutan. Además de ejecutar monitores de malware, Sansec aconsejó a las empresas que usen parches de código abierto proporcionados por la comunidad, como OpenMage, o usen soporte comercial a través de Mage-One.
Para obtener más información sobre cómo combatir las amenazas de apropiación de cuentas (ATO) que plantean los ataques a través de la web oscura y la gran web profunda, únase a nosotros para un seminario web multicanal gratuito para comerciantes este jueves 17 de febrero a las 2:00 p. m. EST. Dirigido por un profesional de seguridad de Sift, se llama «The Dark Web, Account Takeovers and You».