Hackers usam backdoor “furtiva” para comprometer servidores de e-commerce

Uma brecha de segurança em servidores Magento, uma plataforma de e-commerce com código aberto, vem sendo usada desde 2012 para que atacantes assumam caráter de administrador sobre a infraestrutura. Os códigos da exploração, que vêm sendo atualizados de acordo com novas versões da própria plataforma, ficam ocultos, e são ativados remotamente apenas no momento da invasão, de forma que sua presença seja disfarçada pelo maior tempo possível.

De acordo com os especialistas da Sucuri, responsáveis por emitir alerta sobre o backdoor, a invasão acontece por meio de um script que é colocado em ação por meio do envio de uma solicitação web ao servidor. Dentro do código da exploração, entretanto, já está toda a programação necessária, incluindo até mesmo senhas e outras credenciais para acesso pelos hackers, fazendo com que, em caso de tentativa bem-sucedida, baste o envio do pedido para que o invasor já possua acesso privilegiado aos servidores.

A partir daí, é possível criar uma conta com privilégios de administrador a partir de informações e endereços de e-mail selecionados pelos hackers, enquanto o script também pode ser responsável por ocultar esse perfil dos responsáveis reais pela infraestrutura. O acesso, então, é liberado completamente, enquanto, para aumentar ainda mais a ofuscação do golpe, o próprio arquivo original é apagado, mantendo apenas o usuário não autorizado com plenos poderes dentro do servidor.

De acordo com Krasimir Konov, analista da Sucuri, o script analisado pela empresa possui características de golpes semelhantes que vêm acontecendo desde 2012 e já foram identificados pelo menos duas outras vezes pelos especialistas. Segundo ele, essa é uma prova tanto da efetividade do golpe quanto da falta de vontade dos responsáveis pelos ataques, que vêm apenas reescrevendo os códigos de acordo com atualizações do Magento liberadas depois, resultando em uma programação confusa e cheia de comentários, linhas vazias e elementos que não levam a nada.

Há, entretanto, um toque de sofisticação no ataque, principalmente no fato de ele ser um pacote pronto para uso ao toque de um botão e, também, os próprios mecanismos para se manter oculto até mesmo de outros administradores do sistema. Além disso, caso o arquivo mude de lugar em relação à sua posição original, os criminosos também podem enviar uma solicitação Get ao local anterior, onde a própria exploração mantém um arquivo de backup que apontará para seu local atual.

O vetor de entrada, como normalmente acontece, são as brechas de segurança do Magento, descobertas e atualizadas de tempos em tempos. Se exploradas enquanto ainda estiverem ativas, porém, elas podem deixar o script passar e, aí, é apenas uma questão de tempo até que os responsáveis pela exploração atuem e assumam controle do servidor. Isso pode, inclusive, ser feito várias vezes seguidas, caso os criminosos desejem, dando o comando para deletar o arquivo malicioso apenas ao final de todo o processo.

Uma vez que o processo é completado, a porta está aberta para diferentes explorações que podem envolver a extração de dados de clientes, informações sobre as compras realizadas por eles, manipulações de preços e produtos ou demais alterações na infraestrutura do comércio eletrônico. Caso os intrusos não instalem nenhum tipo de solução adicional, a presença dos intrusos nos servidores pode permanecer oculta até que as ações realizadas por eles sejam descobertas — provavelmente quando for tarde demais.

Atualizações rápidas e um olhar atento ao conteúdo da infraestrutura são os melhores caminhos para evitar problemas desse tipo. Firewalls e ferramentas de controle de acesso também ajudam a identificar a presença de intrusos na infraestrutura, enquanto o uso de soluções de segurança pode mitigar eventuais invasões ou alertar quando uma plataforma tiver sido alvo de hackers.

Fonte: Canaltech