¿Qué conecta a «Castores», «Marmotas» y su información de pago?
Según los datos de los expertos de la empresa Sansec, durante este verano los ciberdelincuentes hackearon alrededor del 5% de todas las tiendas en Adobe Commerce y Magento, incluyendo grandes marcas como Ray-Ban, National Geographic, Cisco, Whirlpool y Segway. Los ataques fueron llevados a cabo por siete grupos diferentes, que utilizaron la vulnerabilidad CosmicSting para inyectar código malicioso.
La investigación reveló que desde la publicación de la vulnerabilidad CVE-2024-34102 (también conocida como CosmicSting) en junio, los hackers han comprometido más de 4275 tiendas en línea. A pesar de las advertencias sobre la amenaza, muchas empresas se encontraron en riesgo y fueron atacadas con el uso de skimmers de pago en las páginas de checkout.
Después de que la vulnerabilidad fuera clasificada como crítica el 8 de julio, comenzaron los ataques automatizados masivos. Miles de claves criptográficas secretas fueron robadas, y su versión anterior no se revocó automáticamente al actualizar el sistema. Adobe publicó una guía para eliminar manualmente las claves obsoletas, pero no todos los dueños de tiendas siguieron estas recomendaciones.
Cada uno de los siete grupos de hackers buscaba explotar CosmicSting para robar las claves criptográficas secretas de Magento y acceder a los datos de los clientes. Las claves obtenidas permitían generar tokens de autorización de API, a través de los cuales los hackers inyectaban skimmers de pago en la página de checkout. Curiosamente, la vulnerabilidad no permitía a los primeros grupos de atacantes bloquear el acceso a otros delincuentes, lo que llevó a luchas por el control de la misma tienda.
Los grupos utilizaron diferentes métodos para ocultar e inyectar código malicioso. Para facilitar su seguimiento y diferenciación, los expertos de Sansec les asignaron nombres de animales roedores. De manera bastante curiosa, estos nombres se obtuvieron mediante la transliteración del cirílico.
Por ejemplo, el grupo al que los especialistas siguieron bajo el pseudónimo "Castores" enmascaraba el malware con símbolos Unicode invisibles que, al descifrarse, se convertían en JavaScript. El grupo "Topillos" inyectaba código malicioso a través de un simple script desde el recurso cdnstatics.net. Al mismo tiempo, las "Marmotas" usaban el número 42 para cifrar su código malicioso, trabajando a través de dominios sospechosos.
Otros grupos, como "Ardillas listadas", "Hámsteres" y "Ardillas", también llevaron a cabo campañas a gran escala utilizando sus propios métodos únicos de hacking y propagación de código malicioso. Por ejemplo, las "Ardillas" utilizaban una combinación de CosmicSting y CNEXT para ejecutar código arbitrario en el servidor de la víctima, inyectando puertas traseras y procesos ocultos.
Sansec recomienda encarecidamente a los dueños de tiendas en Magento y Adobe Commerce que actualicen sus sistemas a la última versión, además de cambiar y revocar las claves criptográficas antiguas. El uso de herramientas especializadas de monitoreo en el lado del servidor también ayudará a proteger la tienda de tales ataques.
Los ataques masivos de CosmicSting fueron posibles debido a la falta de conocimiento de los dueños de tiendas y la complejidad de implementar medidas de protección adecuadas. Sansec informa que ninguno de sus clientes fue afectado por estos ataques, pero pronostica un aumento en el número de tiendas comprometidas en los próximos meses, ya que alrededor del 75% de las tiendas en Adobe Commerce y Magento aún no han instalado los parches necesarios.