Oleada masiva de ataques TrojanOrders contra las tiendas de Magento

Al menos siete grupos de piratas informáticos están detrás de un aumento masivo de los ataques TrojanOrders dirigidos a sitios web de Magento 2.

El malware se encarga de explotar una vulnerabilidad específica en Magento que permite a los actores de amenazas comprometer los servidores vulnerables.

La firma de seguridad de sitios web Sansec advirtió que casi el 40% de los sitios web de Magento 2 están siendo atacados, por grupos de piratas informáticos que luchan entre sí por el control de un sitio infectado.

Se espera que la tendencia continúe a medida que nos acercamos más a la Navidad, cuando las tiendas en línea se encuentran en su momento más crítico y al mismo tiempo, más vulnerable.

El ataque TrojanOrders

TrojanOrders es el nombre de un ataque que explota la vulnerabilidad crítica Magento 2 CVE-2022-24086, lo que permite a los atacantes no autenticados ejecutar código e inyectar RAT (troyanos de acceso remoto) en sitios web sin parches.

Adobe arregló CVE-2022-24086 en febrero de 2022, pero Sansec dice que muchos sitios de Magento aún necesitan parchearlo.

Cuando se realizan los ataques de TrojanOrders los piratas informáticos suelen crear una cuenta en el sitio web de destino y realizan un pedido que contiene un código de plantilla malicioso en el nombre, el IVA u otros campos.

Por ejemplo, el ataque inyecta una copia del archivo ‘health_check.php’ en el sitio y este contiene una puerta trasera de PHP que puede ejecutar comandos enviados a través de solicitudes POST.

Después de afianzarse en el sitio web, los atacantes instalan un troyano de acceso remoto para establecer un acceso permanente y la capacidad de realizar acciones más complejas.

En muchos casos observados por Sansec, los atacantes buscaron la presencia de ‘health_check.php’ para determinar si otro pirata informático ya había infectado el sitio y de ser así, reemplazar el archivo con su propia puerta trasera.

Los atacantes finalmente modifican el sitio para incluir JavaScript malicioso que roba la información de los clientes y los números de tarjetas de crédito cuando se compran productos en la tienda.

¿Por qué hay un aumento después de tanto tiempo?

Los analistas de Sansec creen que hay múltiples razones por las que estamos viendo un aumento en los ataques dirigidos a esta vulnerabilidad.

En primer lugar, una gran cantidad de sitios de Magento 2 siguen siendo vulnerables a estos ataques, incluso diez meses después de que los parches se encuentren disponibles.

En segundo lugar, los exploits PoC (prueba de concepto) han estado disponibles durante mucho tiempo, eso permite a los autores de kits de exploits incorporarlos en sus herramientas y beneficiarse vendiéndolos a piratas informáticos poco cualificados.

Estos exploits de Magento son tan abundantes que se venden por tan solo 2.500 dólares mientras que a principios de 2022 costaban entre 20.000 y 30.000.