Cuando se han analizado los sitios web de comercio electrónico que están utilizando el software Magento, se ha revelado que existe un peligroso malware de robo de pagos.
MagentoCore ha estado robando miles a los usuarios. La infección fue encontrada por un blogger de seguridad holandés e investigador Willem de Groot .
¿Cuántas tiendas en línea se ven afectadas?
El malware se llamó MagentoCore y ha afectado a los sitios de comercio electrónico que usan Magento.
El skimmer se instaló en más de 7,339 tiendas en línea en los últimos seis meses y ha afectado a más de 50 sitios web nuevos por día.
«La lista de víctimas contiene compañías multimillonarias, que se intercambian públicamente, lo que sugiere que los operadores de malware obtienen grandes beneficios. Pero los verdaderos enfermos son eventualmente los clientes, a quienes les roban su tarjeta e identidad «, dijo de Groot.
¿Cómo funciona el malware?
El malware MagentoCore usualmente usa el ataque de fuerza bruta donde intenta adivinar la contraseña del panel de administración de Magento por meses y una vez que el acceso es obtenido por el software inyectará un código malicioso al HTML y de ellos todas las teclas del los clientes en el sitio web se registran y los datos se envían de vuelta al servidor principal del pirata informático.
Esta información consiste en nombres de usuario, contraseñas, información de tarjetas de crédito y datos personales.
También hay un mecanismo de recuperación que eliminó el código cuando se ejecutó.
Groot ha analizado más de 220,000 sitios web y el 4,2% de ellos ya estaban filtrando datos de usuarios.
En su blog, de Groot sugiere que cualquier empresa que se vea afectada siga algunos pasos clave, incluida la búsqueda de cómo el malware ingresó a la operación y el cierre inmediato de todos los puntos de entrada.
«Analice los registros de acceso de back-end, correlacione con las direcciones IP del personal y las horas de trabajo típicas. Si la actividad sospechosa se registra desde las direcciones IP del personal, podría ser que una computadora del personal esté infectada con malware, o que el atacante haya secuestrado una sesión autorizada «, dijo de Groot.