El investigador de seguridad Peter Gramantik identificó una campaña que explota una vulnerabilidad anteriormente desconocida en la plataforma de pagos Magento de eBay que permite a los atacantes obtener datos de facturación.

La investigación de Gramantik permitió identificar código inyectado en los programas utilizados por la plataforma de compras, este código permite al atacante obtener todos los datos enviados con el método POST antes de que sean cifrados por el sistema. De acuerdo a las sospechas del investigador, es posible que los atacantes estén explotando una vulnerabilidad en el corazón de la plataforma Magento. De acuerdo al sitio web Alex.com, alrededor de un millón de sitios utilizan dicha plataforma de pagos.

"Parece que el atacante está explotando una vulnerabilidad en el núcleo de Magento o en un módulo o complemento muy usado. La parte triste de este ataque es que no hay forma de saber que te está afectando hasta que es muy tarde, en el peor caso no será notable hasta que aparezca en tu estado de cuenta," comentó Peter Gramantik.

El investigador identificó el uso de una llave pública para cifrar los datos de los clientes de tal forma que sólo el atacante pueda tener acceso a ellos, además, el uso de estos mecanismos sugieren que el atacante forma parte de un grupo criminal que se dedica a robar información de tarjetas de crédito.

El código inyectado para realizar el ataque incluye funciones para borrar las huellas que se generan tras su ejecución para así evitar ser descubierto o levantar sospechas, además, modifica los valores de las marcas de tiempo de los archivos JPG donde se almacena la información de facturación.

"El atacante es capaz de descargar la imagen completa para descifrarla y obtener los datos de facturación que fueron procesados por el sitio que utiliza la plataforma de pagos Magento."

También se identificaron variantes que almacenan todos los datos enviados por POST, incluidos los datos de inicio de sesión en archivos GIF.