Hackers fraudaram centenas de websites de comércio eletrônico para roubar informações de pagamento

Cerca de 500 e-commerce Recentemente, descobriu-se que websites foram comprometidos por hackers que instalaram um skimmer de cartão de crédito que roubava secretamente dados confidenciais quando os visitantes tentavam fazer uma compra.

UMA relatório publicado na terça-feira é apenas o mais recente envolvendo Magecart, um termo genérico dado a grupos criminosos concorrentes que infectam comércio eletrônico websites com skimmers. Ao longo dos últimos anos, milhares de websites foi bater por exploits que fazem com que eles sejam executados Código malicioso. Quando os visitantes inserem os detalhes do cartão de pagamento durante a compra, o código envia essas informações para servidores controlados pelo invasor.

Sansec, a empresa de segurança que descobriu o último lote de infecções, disse que os websites comprometidos estavam todos carregando scripts maliciosos hospedados no domínio naturalfreshmall[.]com.

“O skimmer Herbal Contemporary mostra um pop-up de pagamento falso, anulando a segurança de um formulário de pagamento hospedado (compatível com PCI)”, pesquisadores da empresa escreveu no Twitter. “Os pagamentos são enviados para https://naturalfreshmall[.]com/pagamento/pagamento.php.”

O hackers em seguida, modificou os arquivos existentes ou plantou novos arquivos que forneceram nada menos que 19 backdoors que os hackers poderiam usar para manter o controle sobre os websites caso o script malicioso fosse detectado e removido e o tool vulnerável fosse atualizado. A única maneira de desinfetar totalmente o website é identificar e remover os backdoors antes de atualizar o CMS vulnerável que permitiu que o website fosse invadido.

Sansec trabalhou com os administradores de websites invadidos para determinar o ponto de entrada comum usado pelos invasores. Os pesquisadores finalmente determinaram que os invasores combinaram uma exploração de injeção de SQL com um ataque de injeção de objeto PHP em um plug-in Magento conhecido como Quickview. As explorações permitiram que os invasores executassem códigos maliciosos diretamente no servidor da internet.

Eles conseguiram essa execução de código abusando do Quickview para adicionar uma regra de validação à tabela customer_eav_attribute e injetando uma carga que enganou o aplicativo host para criar um objeto malicioso. Então, eles se inscreveram como um novo usuário no website.

“No entanto, apenas adicioná-lo ao banco de dados não executará o código”, pesquisadores da Sansec explicou. “O Magento realmente precisa desserializar os dados. E há a inteligência desse ataque: ao usar as regras de validação para novos clientes, o invasor pode acionar uma não serialização simplesmente navegando na página de inscrição do Magento.”

Não é difícil encontrar websites que permanecem infectados mais de uma semana depois que a Sansec relatou a campanha pela primeira vez no Twitter. No momento em que este submit estava sendo publicado, Bedexpress[.]com continuou a conter este atributo HTML, que puxa o JavaScript do desonesto naturalfreshmall[.]domínio com.

Os websites invadidos estavam executando o Magento 1, uma versão da plataforma de comércio eletrônico que foi desativada em junho de 2020. A aposta mais segura para qualquer website que ainda use esse pacote obsoleto é atualizar para a versão mais recente do Adobe Trade. Outra opção é instalar patches de código aberto disponíveis para Magento 1 usando tool DIY do projeto OpenMage ou com suporte comercial do Mage-One.

Geralmente é difícil para as pessoas detectarem os skimmers de cartões de pagamento sem treinamento especial. Uma opção é usar um tool antivírus como o Malwarebytes, que examina em pace actual o JavaScript que está sendo servido em um website visitado. As pessoas também podem querer evitar websites que parecem estar usando tool desatualizado, embora isso dificilmente seja uma garantia de que o website seja seguro.

Esta história apareceu originalmente em Ars Technica.

Mais ótimas histórias WIRED