Grandes nomes entre milhares de infectados por criminosos que roubam cartões de pagamento CosmicSting
Ray-Ban, National Geographic, Whirlpool e Segway estão entre milhares de marcas cujas lojas virtuais foram supostamente comprometidas por criminosos que exploraram a falha CosmicSting na esperança de roubar informações de cartão de pagamento dos clientes enquanto eles compram produtos online.
CosmicSting é o nome de uma vulnerabilidade crítica, CVE-2024-34102nos softwares Adobe Commerce e Magento, e pode ser usado para adulterar as páginas dos sites para que os dados do usuário possam ser desviados silenciosamente.
Diz-se que pelo menos sete gangues de crimes cibernéticos estão por trás dos assaltos cibernéticos em andamento que exploram o CosmicSting. Durante o verão aqui no hemisfério norte, os criminosos conseguiram atingir 4.275 comerciantes que usam Commerce e Magento para administrar suas lojas online, empresa de monitoramento de comércio eletrônico Sansec relatado esta semana. Aparentemente, isso representa cinco por cento de todas as lojas Adobe Commerce e Magento.
Pedimos a Sansec e às vítimas acima mencionadas mais detalhes e para determinar se eles já conseguiram corrigir seus sites.
O Registro falei com Cisco no mês passado, logo depois que criminosos exploraram o CosmicSting para atacar o site de mercadorias baseado em Magento do Switchzilla, e um porta-voz nos garantiu que a vulnerabilidade de segurança havia sido resolvida. “Com base em nossa investigação, o problema afetou apenas um número limitado de usuários do site, e esses usuários foram notificados”, disse o porta-voz da Cisco. “Nenhuma credencial foi comprometida.”
Se valer a pena, o CosmicSting pode ser explorado não apenas para roubar informações do cartão, se disponíveis, mas também qualquer informação da página de um site comprometido, como credenciais e dados de login do cliente.
O Commerce e o Magento da Adobe são amplamente utilizados por sites de compras on-line e, portanto, atraem criminosos que desejam interceptar e roubar dados de compradores para que possam ser usados em fraudes. Devido a esta, Explorações de segmentação Magento são rotulados coletivamente como ataques Magecart. Adobe Commerce é essencialmente desenvolvido com Magento, que a gigante do Photoshop comprado em 2018 por US$ 1,68 bilhão.
Entrando em detalhes: CVE-2024-34102 é uma vulnerabilidade XXE (Entidade Externa XML) não autenticada com classificação CVSS de 9,8 em 10 que pode ser explorado para alterar páginas da web atendidas por implantações vulneráveis do Adobe Commerce e Magento.
No caso dos ataques acima mencionados, os criminosos usam o CosmicSting para adicionar JavaScript malicioso às páginas de checkout para roubar informações de pagamento dos clientes à medida que as digitam ou alterar outras páginas para obter outros dados. Foi descoberto e relatado por Sergei Temnikov.
CVE-2024-34102 pode ser opcionalmente combinado com o sistema de alta gravidade CVE-2024-2961 – um buffer overflow glibc que pode ser acessado no Linux a partir de PHP – para obter execução remota de código em um host de servidor Commerce ou Magento vulnerável. Essa última falha pode ser usada para instalar um backdoor na máquina para acesso persistente.
Adobe corrigido CVE-2024-34102 em 11 de junho, mas até lá “ataques automatizados já havia começado”, segundo Sansec.
Pelo menos sete grupos distintos estão executando campanhas CosmicSting de “grande escala”, nas quais usam a falha para obter chaves secretas do Magento de instalações para gerar tokens que concedem acesso irrestrito à API do Magento, permitindo a edição de sites.
Com os ataques do Magecart, os primeiros criminosos a comprometer um site geralmente impedirão que outros invadam seu território. “No entanto, a vulnerabilidade CosmicSting evita isso, levando vários grupos a lutar pelo controle da mesma loja e a despejar uns aos outros repetidas vezes”, observou a equipe forense da Sansec.
Em alguns casos, três gangues diferentes foram flagradas brigando pela mesma loja, segundo nos disseram.
Como parte de sua análise contínua, a Sansec coletou diferentes carregadores CosmicSting, cada um associado a diferentes infraestruturas e métodos de roubo de dados, e publicou uma lista completa de indicadores de ataqueque vale a pena conferir, especialmente se você opera uma loja online Magento.
Apesar dos avisos contínuos, “a Sansec projeta que mais lojas serão hackeadas nos próximos meses”, escreveram os pesquisadores. ®
