Magento comentó recientemente que no parece haber una nueva vulnerabilidad en su plataforma de comercio electrónico, lo que parecía ser la causa de que algunos sitios web se vieran infectados con el kit de exploits Neutrino.

Algunos de los sitios afectados parecen no tener correcciones ante una vulnerabilidad de código de ejecución conocida como Shoplift Bug Patch, escribió el equipo de Magento en un blog. Otros sitios desarrollados con Magento no han aplicado otros parches que los hacen vulnerables.

El último ataque contra Magento fue destacado por Malwarebytes y Sucuri, dos compañías de seguridad que se percataron de ataques en los servidores de sus clientes.

Los sitios de Magento infectados contienen scripts maliciosos que crearon iframes, los cuales desplegaban contenido del dominio Guruincsite. Ese dominio, que está en la lista negra de Google, ha sido relacionado con el kit de exploits Neutrino.

Los kits de exploit atacan al equipo buscando vulnerabilidades de software con el fin de descargar malware. Los hackers maliciosos con frecuencia intentan plantar código que active la exposición a un kit de exploits, en sitios web legítimos y con bastante tráfico porque crea oportunidades para infectar algunas computadoras. 

La compañía Malwarebytes vio exploits del lado del cliente viniendo desde Neutrino, intentando explotar los sistemas de Adobe Flash Player e instalando un malware llamado Andromeda/Gamarue, escribió el investigador senior de seguridad Jerome Segura.

Además, el investigador mencionó que los "equipos comprometidos pueden ser explotados por credenciales financieras y también pasan a ser parte de una gran botnet".

Magento advirtió que incluso si todos los parches han sido aplicados al software, es importante averiguar si un sitio web habría sido comprometido previamente.

Aunque un defecto sea parcheado, es posible que atacantes hayan creado cuentas administrativas no autorizadas, las cuales seguirían permitiéndoles acceso, dijo Magento.