Estamos viendo un ataque masivo contra sitios web Magento, en los cuales scripts maliciosos crean iframes a partir de “guruincsite[.]com” inyectados. Google ya ha puesto siete mil sitios web en su lista negra, debido al malware.
Hay dos modificaciones. Su primer script no está ofuscado:
y el segundo está ofuscado
Los scripts ofuscados han inyectado el iframe “hxxp://guruincsite[.]com/2.php“.
A menudo, el malware se inyecta en design/footer/absolute_footer de la tablacore_config_data, pero hay que verificar toda la base de datos del código, buscando a cosas como “function LCWEHH(XHFER1){XHFER1=XHFER1” y el nombre de dominio “guruincsite“.
Actualmente estamos investigando el vector de infección y traeremos actualizaciones con más detalles cuando sea posible. En ese momento, se sospechó que una vulnerabilidad en Magento o alguna extensión de terceros está permitiendo la infección de miles de sitios web en un corto período de tiempo. Actualize todo: archivos principales y extensiones. Esta vulnerabilidad permite el acceso a su base de datos, los hackers pueden utilizarla para crear usuarios administradores maliciosos. A continuación, revise todos los usuarios de su sitio web o utilize un firewall de sitios webque protege su sitio web de vulnerabilidades conocidas y desconocidas, además, evita que usuarios no autorizados accedan al área de administración.
Fuente:https://blog.sucuri.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad