Sitios Magento atacados con Skimmer de Tarjetas de Crédito a través de Archivos Swap

XPoint
Publicado el 23/07/2024

Los actores maliciosos han sido observados utilizando archivos swap en sitios web comprometidos para ocultar un skimmer de tarjetas de crédito persistente y recolectar información de pago.

La técnica, observada por Sucuri en la página de pago de un sitio de comercio electrónico Magento, permitió que el malware sobreviviera a múltiples intentos de limpieza, dijo la compañía.

El skimmer está diseñado para capturar todos los datos del formulario de tarjeta de crédito en el sitio web y exfiltrar los detalles a un dominio controlado por el atacante llamado «amazon-analytic[.]com», que fue registrado en febrero de 2024.

«Note el uso del nombre de la marca; esta táctica de aprovechar productos y servicios populares en nombres de dominio a menudo es utilizada por actores maliciosos en un intento de evadir la detección», dijo el investigador de seguridad Matt Morrow.

Esta es solo una de muchas técnicas de evasión de defensa empleadas por el actor de amenazas, que también incluye el uso de archivos swap («bootstrap.php-swapme») para cargar el código malicioso mientras mantiene el archivo original («bootstrap.php») intacto y libre de malware.

«Cuando los archivos se editan directamente a través de SSH, el servidor creará una versión temporal ‘swap’ en caso de que el editor se bloquee, lo que evita que se pierda todo el contenido», explicó Morrow.

«Se hizo evidente que los atacantes estaban aprovechando un archivo swap para mantener el malware presente en el servidor y evadir los métodos normales de detección».

Aunque actualmente no está claro cómo se obtuvo el acceso inicial en este caso, se sospecha que involucró el uso de SSH u otra sesión de terminal.

La divulgación llega cuando las cuentas de usuario administrador comprometidas en sitios de WordPress están siendo utilizadas para instalar un plugin malicioso que se hace pasar por el plugin legítimo Wordfence, pero viene con capacidades para crear usuarios administradores falsos y desactivar Wordfence mientras da la falsa impresión de que todo está funcionando correctamente.

«Para que el plugin malicioso haya sido colocado en el sitio web en primer lugar, el sitio web ya tendría que haber sido comprometido, pero este malware definitivamente podría servir como un vector de reinfección», dijo el investigador de seguridad Ben Martin.

«El código malicioso solo funciona en páginas de la interfaz de administración de WordPress cuyo URL contiene la palabra ‘Wordfence’ en ellas (páginas de configuración del plugin Wordfence)».

Se aconseja a los propietarios de sitios que restrinjan el uso de protocolos comunes como FTP, sFTP y SSH a direcciones IP de confianza, así como asegurarse de que los sistemas de gestión de contenido y los plugins estén actualizados.

También se recomienda a los usuarios habilitar la autenticación de dos factores (2FA), usar un firewall para bloquear bots y aplicar implementaciones adicionales de seguridad wp-config.php, como DISALLOW_FILE_EDIT y DISALLOW_FILE_MODS.

 

_______________________________________________

English:

Magento Sites Targeted with Sneaky Credit Card Skimmer via Swap Files

Threat actors have been observed using swap files on compromised websites to conceal a persistent credit card skimmer and harvest payment information.

The sneaky technique, observed by Sucuri on a Magento e-commerce site’s checkout page, allowed the malware to survive multiple cleanup attempts, the company said.

The skimmer is designed to capture all data into the credit card form on the website and exfiltrate the details to an attacker-controlled domain named «amazon-analytic[.]com,» which was registered in February 2024.

«Note the use of the brand name; this tactic of leveraging popular products and services in domain names is often used by bad actors in an attempt to evade detection,» security researcher Matt Morrow said.

This is just one of many defense evasion methods employed by the threat actor, which also includes the use of swap files («bootstrap.php-swapme») to load the malicious code while keeping the original file («bootstrap.php») intact and free of malware.

«When files are edited directly via SSH, the server will create a temporary ‘swap’ version in case the editor crashes, which prevents the entire contents from being lost,» Morrow explained.

«It became evident that the attackers were leveraging a swap file to keep the malware present on the server and evade normal methods of detection.»

Although it’s currently not clear how the initial access was obtained in this case, it’s suspected to have involved the use of SSH or some other terminal session.

The disclosure arrives as compromised administrator user accounts on WordPress sites are being used to install a malicious plugin that masquerades as the legitimate Wordfence plugin but comes with capabilities to create rogue admin users and disable Wordfence while giving a false impression that everything is working as expected.

«In order for the malicious plugin to have been placed on the website in the first place, the website would have already had to have been compromised — but this malware could definitely serve as a reinfection vector,» security researcher Ben Martin said.

«The malicious code only works on pages of the WordPress admin interface whose URL contains the word ‘Wordfence’ in them (Wordfence plugin configuration pages).»

Site owners are advised to restrict the use of common protocols like FTP, sFTP, and SSH to trusted IP addresses, as well as ensure that the content management systems and plugins are up-to-date.

Users are also recommended to enable two-factor authentication (2FA), use a firewall to block bots, and enforce additional wp-config.php security implementations such as DISALLOW_FILE_EDIT and DISALLOW_FILE_MODS.

 

Preguntas frecuentes

¿Qué es Magento?

+

Magento es una plataforma de código abierto para comercio electrónico escrita en PHP. Fue desarrollada con apoyo de voluntarios por Varien Inc, una compañía privada con sede en Culver City, California. Varien publicó la primera versión del software el 31 de marzo de 2008.

¿Qué es y para qué sirve un Pentesting?

+

El Pentesting, o pruebas de penetración, es una evaluación de seguridad que simula ciberataques controlados contra sistemas y redes de una organización. Realizado por profesionales de seguridad, busca identificar y explotar vulnerabilidades para evaluar la efectividad de las defensas y proporcionar recomendaciones de mejora. Ayuda a prevenir ataques, mejorar la seguridad y cumplir con requisitos normativos. En resumen, es una herramienta vital para fortalecer la seguridad informática de una organización.

¿Qué es y para qué la Seguridad en el Desarrollo Ágil?

+

El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:

  1. Protección temprana contra amenazas: Al abordar la seguridad desde el principio del ciclo de desarrollo, se pueden identificar y mitigar riesgos de seguridad antes de que se conviertan en problemas costosos o críticos en etapas posteriores del proyecto.
  2. Reducción de costos y tiempo: Corregir problemas de seguridad durante las etapas iniciales del desarrollo es más económico y rápido que hacerlo después de que el producto esté en producción. Esto puede ayudar a evitar retrasos en el lanzamiento del producto y ahorros significativos en costos asociados con la corrección de brechas de seguridad.
  3. Cumplimiento normativo: Muchas regulaciones y estándares de la industria requieren que los productos de software cumplan con ciertos requisitos de seguridad y protección de datos. Integrar la seguridad en el ciclo de desarrollo ayuda a garantizar el cumplimiento de estas regulaciones desde el principio, evitando posibles multas y sanciones legales.
  4. Confianza del cliente: La seguridad de los datos y la protección de la privacidad son preocupaciones importantes para los clientes. Al demostrar un compromiso con la seguridad a lo largo de todo el ciclo de desarrollo, las empresas pueden construir y mantener la confianza del cliente en sus productos y servicios.

En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.

¿Qué es el Phishing Ético?

+

El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.

Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/

¿Qué es un Red Team en Ciberseguridad?

+

Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

¿Qué es la Gestión de Vulnerabilidades?

+

La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

  1. Identificación de Vulnerabilidades
  2. Evaluación de Riesgos
  3. Priorización
  4. Mitigación y Solución
  5. Seguimiento Continuo
  6. Comunicación y Documentación
  7. Formación y Concienciación

La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

¿Tienes dudas?, contáctanos