This post is also available in: Português
Comércios eletrônicos com a plataforma Magento ficaram mais vulneráveis com o fim do suporte à versão 1 do sistema.
Quem faz compras online pode nem saber, mas a sua loja virtual preferida talvez seja gerenciada por uma plataforma chamada Adobe Magento. Afinal, está entre as mais utilizadas no mundo, e permite que se crie rapidamente uma loja online – com funções automatizadas para vender produtos e aceitar cartões de crédito, por exemplo.
O problema é que tudo que se torna famoso na Web vira alvo de cibercriminosos. Tanto é que o fim de semana passado trouxe um recorde negativo para o Magento, quando cerca de 2000 lojas sofreram ataques virtuais – os quais tinham o objetivo de roubar informações de cartões de crédito.
Esses tipos de ataques são chamados de MageCart, e se tornaram um problema sério – a ponto de a bandeira VISA emitir um aviso incentivando os comerciantes a migrarem seus sites para as versões mais modernas da plataforma.
Tal aviso faz sentido; a maioria das lojas crackeadas operava com o Magento Versão 1, que não recebe mais atualizações de segurança desde junho de 2020, data em que chegou ao fim o suporte.
Invasão em massa
Tudo começou na sexta-feira passada, quando dez lojas foram infectadas com um script de skimming de cartão de crédito não visto anteriormente em outros ataques.
No sábado, os números cresceram vertiginosamente, com 1.058 sites crackeados. Outros 603 foram invadidos no domingo e mais 233 na segunda-feira. O recorde até então era de 962 lojas atacadas em um único dia, fato que ocorreu em julho do ano passado.
A ação
Quando um site é comprometido, os criminosos instalam um shell PHP da web chamado mysql.php, que lhes permite ter acesso total à conta.
Os invasores usaram um IP dos EUA para interagir com o painel de administração do Magento, e usaram o recurso “Magento Connect” para baixar e instalar vários arquivos, incluindo um backdoor batizado de mysql.php. Este arquivo é excluído automaticamente depois que o código malicioso for adicionado ao prototype.js.
Usando esse acesso, os invasores instalam o JavaScript para carregar o código malicioso de roubo de cartão de crédito de mcdnn.net/122002/assets/js/widget.js.
Quando as informações de pagamento são enviadas, os detalhes de pagamento do script são coletados e enviados para a URL https://imags.pw/502.jsp, que está sob o controle do invasor.
Para sites comprometidos do Magento versão 1, o script malicioso foi adicionado ao arquivo prototype.js. Para sites do Magento 2, que são minoria, ele foi adicionado a um arquivo jquery.js escondido no código.
Furto à venda
Não se sabe ao certo, mas acredita-se que os sites com Magento 1 podem ter sido atacados usando uma vulnerabilidade vendida em fóruns clandestinos.
Em 15 de agosto, um usuário chamado z3r0day começou a vender exploits para falhas de Dia Zero e duas vulnerabilidades corrigidas recentemente no Magento 1 por US$ 5.000. Essa venda estava sendo feita para cerca de dez pessoas.
As investigações seguem em andamento para determinar com precisão como os sites foram crackeados. No momento, aconselha-se a todos os usuários a atualizarem para o Magento 2, que oferece proteções muito mais avançadas.
As atualizações são relativamente simples, mas valem a pena mesmo que exigissem esforços maiores. Vale tudo para evitar ser vítima de crimes virtuais.
This post is also available in: Português
