Advierten sobre malware que afecta a 7,339 tiendas basadas en Magento

03/09/2018

Un investigador de seguridad holandés ha descubierto una campaña masiva de sitios web que ha infectado a 7,339 tiendas Magento con un script que recopila datos de las tarjetas de pago para compras en línea.

El script es lo que los expertos de la industria llaman un "clonador de tarjetas de pago" o skimmer. Los ciberdelincuentes irrumpen en sitios y modifican su código fuente para cargar el script junto con sus archivos legítimos.

El script generalmente se carga en las páginas de pago de la tienda y registra secretamente los detalles de la tarjeta ingresados ​​en los formularios de pago, datos que luego envía a un servidor bajo el control del delincuente.

MagentoCore: el skimmer de pago más fértil hasta la fecha

El lunes de esta semana, Willem de Groot, un conocido experto en seguridad holandés, descubrió una campaña de “clonado de tarjetas” que no se había reportado anteriormente y que utiliza un script de skimmer cargado al dominio magentocore.net.

Según de Groot, éste es "el más exitoso hasta la fecha". El investigador dice que encontró el script, que llamó MagentoCore, en 7,339 tiendas Magento en los últimos seis meses.
"El tiempo de recuperación promedio es de unas pocas semanas, pero al menos 1450 tiendas han hospedado el parásito MagentoCore.net durante los últimos 6 meses", dice de Groot. "Las nuevas marcas son hackeadas a un ritmo de 50 a 60 tiendas por día".

Una búsqueda rápida de PublicWWW revela que la secuencia de comandos de MagentoCore aún se puede encontrar en 5,172 dominios hoy, al momento de la escritura. "La lista de víctimas contiene compañías multimillonarias, que cotizan en bolsa, lo que sugiere que los operadores de malware obtienen grandes ganancias", agrega de Groot. "Pero las verdaderas víctimas son eventualmente los clientes, a quienes les roban su tarjeta e identidad".

MagentoCore es operado por uno de los tres grupos de MageCart

Yonathan Klijnsma, líder de investigación de Amenazas para RiskIQ, dijo a Bleeping Computer que la gran campaña de MagentoCore que Groot informó esta semana es parte de una campaña de clonado de tarjetas más grande conocida como MageCart.

MageCart ha estado activa desde finales de 2015; el malware MagentoCore y el dominio magentocore.net asociado a este, son el trabajo de uno de los tres grupos diferentes que operan con las mismas tácticas que RiskIQ ha estado rastreando como MageCart.

Uno de los otros grupos rastreados bajo el nombre MageCart es el grupo que infectó un popular widget de chat con un malware para clonar tarjetas a principios de este año. Este widget de chat es lo que causó la filtración de datos que TicketMaster anunció en junio.

De Groot dice que descubrió la campaña MagentoCore mientras escaneaba Internet en busca de tiendas Magento e infecciones de malware. Según de Groot, el 4.2% de todas las tiendas de Magento están infectadas con uno o más tipos de scripts maliciosos.

El año pasado, de Groot comenzó a pedir a los propietarios de tiendas en línea desaparecidas o prontas a desaparecer que donaran sus dominios para poder establecer honeypots y rastrear el malware de robo de tarjetas de crédito y otros tipos de ciberataques en sitios de comercio electrónico.

Artículos relacionados: