Miles de tiendas web afectadas por el skimmer MagentoCore.net

  • Seguridad

El grupo Magecart parece estar detrás de la operación, que ha convertido más de 7.300 sitios de e-commerce en máquinas de dinero zombie. La lista de víctimas incluye compañías multimillonarias, que cotizan en bolsa, pero las verdaderas víctimas son los clientes, cuyas tarjetas e identidades han sido robadas.

En torno a 7.339 (y subiendo) sitios individuales de comercio electrónico han sido infestados con el skimmer MagentoCore.net en los últimos seis meses, convirtiendo al script malicioso en una de las amenazas contra tarjetas bancarias más exitosas. Las infecciones están vinculadas a un grupo dotado de recursos con alcance global.

"El skimming online, en el que la identidad y los datos de la tarjeta son robados mientras se compra, ha existido durante algunos años, pero ninguna campaña ha sido tan prolífica como la del skimmer de MagentoCore.net", explica el investigador de malware independiente Willem de Groot, que atribuye la campaña al grupo Magecart. "El grupo ha convertido miles de tiendas individuales en máquinas de dinero zombie, en beneficio de sus ilustres maestros".

Ayúdanos a conocer cuáles son las tendencias tecnológicas que se impondrán en la empresa el próximo año y más allá, y cómo se está construyendo el futuro digital.

La campaña es global y sigue en curso. Según de Groot, las nuevas tiendas están siendo secuestradas al ritmo alarmante de 50 a 60 tiendas por día. Además, el script parece ser bastante persistente: el tiempo medio de recuperación es "unas pocas semanas", dijo, con al menos 1.450 sitios de comercio electrónico que hospedan el parásito MagentoCore.net durante los seis meses de su análisis. "La lista de víctimas contiene compañías multimillonarias, que cotizan en bolsa, lo que sugiere que los operadores del malware obtienen grandes ganancias. Pero las verdaderas víctimas son los clientes, a quienes les roban sus tarjetas e identidades", apunta el investigador.

Los actores de MageCart apuntan a las tiendas online que ejecutan WooCommerce desde WordPress y el software Magento, y el vector de ataque empleado, en casi todos los casos recientes, es forzar la contraseña de administrador. Los atacantes son pacientes, ya que prueban automáticamente millones de contraseñas comunes hasta que encuentran una que funcione, a menudo en el transcurso de unos pocos meses. Los atacantes también pueden obtener acceso no autorizado de un equipo del personal que está infectado con malware, o mediante el secuestro de una sesión autorizada utilizando una vulnerabilidad en el sistema de administración de contenidos (CMS).

Una vez que los actores logran acceder al CMS que ejecuta el sitio web, insertan el código Javascript MagentoCore.net en la plantilla HTML. Esto puede ocultarse en algunos lugares, incluidos los encabezados y pies de página predeterminados de HTML, y en los archivos Javascript ocultos, estáticos y minimizados en las profundidades de la base de código. También agrega una puerta trasera a cron.php.

Una vez instalado, trata de registrar las pulsaciones de teclas de los compradores online desprevenidos, enviando los datos en tiempo real al servidor del malware, registrado en Moscú. Se ha visto a MageCart reclutando mulas de dinero para monetizar la información de las tarjetas robadas, datos que puede vender en el mercado negro por entre 5 y 30 dólares por tarjeta.