Aunque la alarma saltó a finales de la semana pasada, ha sido esta cuando ha quedado totalmente confirmado que los sitios web de la aplicación de ecommerce difunden malware entre los usuarios. Aunque desde Magento no han realizado ningún comentario al respecto, expertos en seguridad han confirmado que se está utilizando un exploit Neutrino para realizar la redirección.
En un principio, los expertos en seguridad catalogaron la amenaza como una actividad de un aficionado, ya que no ocultó en ningún instante la actividad del archivo neitrino.php, encargado de realizar las redirecciones a sitios web infectados con virus informáticos. Sin embargo, esto era solo el comienzo, ya que después del fin de semana la oleada se ha recrudecido y se han detectado una gran cantidad de ataques inyectando código en forma de iframes en las páginas del servicio.
Los investigadores han realizado investigaciones por separado y al margen de los responsables de la misma, que hasta el momento han decidido no verter ningún tipo de información. Después de varios días han llegado a la conclusión que debe existir alguna vulnerabilidad en el gestor de contenidos de los portales web o bien en alguna extensión que está propiciando la realización del ataque. Tomando este caso como ejemplo, queda de manifiesto lo importante que resulta mantener actualizado el gestor de contenidos y los plugins para así evitar que ciberdelincuentes se aprovechen de fallos de seguridad existentes. En esta ocasión ha sido una página web pero es igualmente aplicable a los usuarios particulares.
En este momento no se puede cuantificar cuántos sitios web están afectados por estos ataques.
Relación con una vulnerabilidad zero-day detectada en Magento
Aunque oficialmente no se ha confirmado la vinculación, hace algunas semanas se detectó una vulnerabilidad en un complemento que permitía el volcado instantáneo de los productos con sus datos a la tienda en línea. Conocido como Magmi, si los ciberdelincuentes hacen uso de esta vulnerabilidad podrían alterar el código fuente de la página y así incrustar los iframes detectados.
A partir de ahí, el código de Neutrino hace sus función redirigiendo al usuario a páginas web infectadas con virus informáticos, concretamente Andromeda y Gamerue, dos piezas que se utilizan como puerta de entrada a más malware, concretamente troyanos bancarios. Los dos mencionados con anterioridad incorporan keyloggers y formgrabber, por lo que la peligrosidad de entrada ya resulta bastante elevada.
Fuente | Softpedia