Em poucas palavras: Magecart atacou novamente, e os sites de comércio eletrônico estão em apuros desta vez. Os grupos de hackers atingiram empresas online com malware destinado a roubar informações de transações de clientes, o que não é novidade. A novidade é que o código malicioso também abriu pelo menos 19 backdoors nas lojas para que, se os administradores o removerem, os hackers possam voltar rapidamente ao site.
Pesquisadores de segurança da Sansec dizem que descobriram que mais de 500 lojas online que executam a plataforma de comércio eletrônico Magento 1 foram comprometidas em janeiro. Os hackers usaram uma combinação de injeção de SQL (SQLi) e injeção de objeto PHP (POI) para assumir a plataforma Magento. Em seguida, um domínio chamado "naturalfreshmall" serviu o malware para os sites agora vulneráveis.
“O skimmer Natural Fresh mostra um pop-up de pagamento falso, derrotando a segurança de um formulário de pagamento hospedado (compatível com PCI)", twittou Sansec. "Os pagamentos são enviados para https://naturalfreshmall[.]com/payment/Payment.php ."
Com controle sobre o Magento, especificamente, um plugin chamado "Quickview", o Magecart executou um ataque man-in-the-middle. O malware que se apresentava como um pop-up de pagamento vasculhava os dados da transação e os enviava para os servidores controlados pelo Magecart.
Além disso, a carga maliciosa continha arquivos que criavam pelo menos 19 backdoors para os sites. Portanto, remover o malware não é uma mitigação eficaz. Os administradores devem primeiro identificar e remover todos os backdoors e, em seguida, corrigir o CMS comprometido.
Sansec diz que a vulnerabilidade está em uma versão depreciada do software Magento 1 de 2020. Para corrigir suas plataformas de pagamento, os administradores precisam atualizar para a versão mais recente do Adobe Commerce ou usar os patches Magento 1 que podem baixar do projeto OpenMage.