Infección Masiva en Guruincsite de Magento

Share this…

Estamos viendo un ataque masivo contra sitios web Magento, en los cuales scripts maliciosos crean iframes a partir de “guruincsite[.]com” inyectados. Google ya ha puesto siete mil sitios web en su lista negra, debido al malware.

Hay dos modificaciones. Su primer script no está ofuscado:

Script guruincsite simple
Script guruincsite simple

y el segundo está ofuscado

Script guruincsite ofuscado
Script guruincsite ofuscado

Los scripts ofuscados han inyectado el iframe “hxxp://guruincsite[.]com/2.php“.

A menudo, el malware se inyecta en design/footer/absolute_footer de la tablacore_config_data, pero hay que verificar toda la base de datos del código, buscando a cosas como “function LCWEHH(XHFER1){XHFER1=XHFER1” y el nombre de dominio “guruincsite“.

Actualmente estamos investigando el vector de infección y traeremos actualizaciones con más detalles cuando sea posible. En ese momento, se sospechó que una vulnerabilidad en Magento o alguna extensión de terceros está permitiendo la infección de miles de sitios web en un corto período de tiempo. Actualize todo: archivos principales y extensiones. Esta vulnerabilidad permite el acceso a su base de datos, los hackers pueden utilizarla para crear usuarios administradores maliciosos. A continuación, revise todos los usuarios de su sitio web o utilize un firewall de sitios webque protege su sitio web de vulnerabilidades conocidas y desconocidas, además, evita que usuarios no autorizados accedan al área de administración.

Fuente:https://blog.sucuri.net/