Monday, 19 October 2015

Infección Masiva en Guruincsite de Magento

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/malware-virus/infeccion-masiva-en-guruincsite-de-magento/
TAGS: Infección Masiva, Magento

Estamos viendo un ataque masivo contra sitios web Magento, en los cuales scripts maliciosos crean iframes a partir de “guruincsite[.]com” inyectados. Google ya ha puesto siete mil sitios web en su lista negra, debido al malware.


Hay dos modificaciones. Su primer script no está ofuscado:




[caption id="attachment_7036" align="alignnone" width="1048"]Script guruincsite simple Script guruincsite simple[/caption]

y el segundo está ofuscado




[caption id="attachment_7035" align="alignnone" width="620"]Script guruincsite ofuscado Script guruincsite ofuscado[/caption]

Los scripts ofuscados han inyectado el iframe “hxxp://guruincsite[.]com/2.php“.


A menudo, el malware se inyecta en design/footer/absolute_footer de la tablacore_config_data, pero hay que verificar toda la base de datos del código, buscando a cosas como “function LCWEHH(XHFER1){XHFER1=XHFER1” y el nombre de dominio “guruincsite“.


Actualmente estamos investigando el vector de infección y traeremos actualizaciones con más detalles cuando sea posible. En ese momento, se sospechó que una vulnerabilidad en Magento o alguna extensión de terceros está permitiendo la infección de miles de sitios web en un corto período de tiempo. Actualize todo: archivos principales y extensiones. Esta vulnerabilidad permite el acceso a su base de datos, los hackers pueden utilizarla para crear usuarios administradores maliciosos. A continuación, revise todos los usuarios de su sitio web o utilize un firewall de sitios webque protege su sitio web de vulnerabilidades conocidas y desconocidas, además, evita que usuarios no autorizados accedan al área de administración.


Fuente:https://blog.sucuri.net/


Noticias de seguridad informática

No comments:

Post a Comment