Atacantes instalam E-Skimmers graças a uma vulnerabilidade de três anos de idade, alerta o FBI

Ao contrário de outras entradas no glossário de termos técnicos de cibersegurança, a palavra 'e-skimmer' é bastante simples de explicar. Assim como um skimmer de cartão físico raspa os detalhes do cartão bancário de um caixa eletrônico, um e-skimmer rouba os dados financeiros dos compradores das páginas de check-out dos sites de comércio eletrônico. Estranhamente, no entanto, os profissionais de segurança cibernética raramente usam a palavra 'e-skimmer' hoje em dia. A maioria desses ataques agora é descrita com o termo 'Magecart', e isso ocorre porque, nos últimos dois anos, a maioria dos skimmers eletrônicos foi instalada em lojas on-line criadas com o Magento, uma plataforma de código aberto para sites de comércio eletrônico.

No início, o termo "Magecart" foi associado a um único grupo de hackers que injetava várias linhas de código JavaScript de roubo de cartão nas páginas de checkout das lojas on-line, mas, mais tarde, o malware se tornou tão popular entre tantos atores de ameaças diferentes, que lentamente se tornou um nome coletivo para todos os ataques desse tipo. Alguns sites de alto perfil foram vítimas de ataques do Magecart e, em outubro do ano passado, ninguém menos que o FBI alertou os administradores de lojas on-line sobre os riscos associados ao Magecart.

Previsivelmente, nem todos ouviram, e Magecart não desapareceu da noite para o dia. Pelo contrário, os sites de comércio eletrônico continuam a sofrer de infecções por Magecart, e especialistas em segurança cibernética, bem como agências policiais, continuam tentando e evitá-los. Recentemente, o FBI emitiu outro aviso, desta vez descrevendo um vetor de ataque específico usado pelos atores Magecart.

Os hackers usam um vulnerável plugin Magento para lançar ataques Magecart

Para injetar código malicioso em um site, os hackers precisam comprometer a segurança do alvo de alguma forma, e o FBI aparentemente notou uma tendência em suas ações. De acordo com o ZDNet, os proprietários de lojas on-line que usam um antigo plugin Magento chamado Magento Mass Import (ou MAGMI) são instados a tomar as medidas necessárias e melhorar a segurança de seu site.

Em abril de 2017, especialistas em segurança descobriram uma vulnerabilidade de script entre sites no MAGMI 0.7.22, que permite que hackers acessem arquivos e injetem códigos maliciosos no site de destino. A vulnerabilidade é rastreada como CVE-2017-7391 e aparentemente ainda está presente em muitos sites. De acordo com o alerta do FBI, alguns ataques recentes foram facilitados pelo CVE-2017-7391. Depois que os hackers injetam seu código, o malware captura as informações financeiras dos compradores inocentes, a Base64 as codifica em um arquivo JPG e as envia aos criminosos cibernéticos.

O CVE-2017-7391 foi corrigido há um tempo e a atualização do MAGMI para a versão 0.7.23 interromperá esse vetor de infecção específico. Em alerta, os federais também incluíam indicadores de comprometimento, que os administradores podem usar para melhorar a segurança de seus sites. Infelizmente, isso pode não ser suficiente para proteger adequadamente uma loja online baseada em Magento.

Lojas online ainda usam Magento 1

O problema é maior do que você imagina e, para entender o porquê, precisamos de uma lição de história. O Magento foi desenvolvido originalmente por uma empresa chamada Varien e foi lançado em março de 2008. Após alguns atrasos, o Magento 2.0, o último grande lançamento, viu a luz do dia sete anos depois, em novembro de 2015.

CVE-2017-7391, a vulnerabilidade de três anos que acionou o alerta do FBI, é encontrada no MAGMI, um plug-in que funciona apenas com o Magento 1. Em outras palavras, se um site usa MAGMI, ele é construído em uma plataforma bastante antiga . Além disso, em 30 de junho de 2020, todas as versões do Magento 1.x chegarão ao fim da vida útil e deixarão de receber atualizações de segurança.

Em outras palavras, depois de atualizar seu plug-in MAGMI, os administradores que podem ser afetados por esse ataque também devem pensar em migrar suas lojas para plataformas mais modernas e mais seguras.