Expertos de malware holandeses han descubierto un nuevo ejemplar de malware que se dirige a las tiendas que ejecutan plataformas Magento, que puede auto-curarse utilizando un código oculto en la base de datos de la página web.
Si bien este no es el primer software malicioso web que oculta el código en la base de datos de la página web, esta es la primera que está escrito en SQL, como un procedimiento almacenado, en este caso, una operación trigger Mangeto.
Descubierto por Jeroen Boersma y analizada por Willem de Groot, este malware inicia la ejecución cada vez que un usuario realiza una nueva orden.
Cuando esto sucede, un disparador malicioso base de datos (un conjunto de operaciones SQL automatizados, también conocido como un procedimiento almacenado) realiza el montaje de la página.
Este disparador de la bases de datos comprueba si el código JavaScript malicioso del malware está presente en el encabezado, pie de página, y la sección de derechos de autor de la tienda. Además, también se comprueba varias Magento CMS bloques en los que el código malicioso también podría residir.
Si no encuentra ningún rastro de su código JavaScript, el trigger contiene instrucciones que le vuelva a insertar en el código fuente del sitio, a través de una serie de operaciones de SQL.
Este comportamiento "autocuración", como se describe Groot, es la primera vez para Magento malware.
"El malware se almacena en bases de datos antes, pero sólo como texto," segun Groot.
"Se puede escanear un volcado de la base de datos y saber si contiene material malicioso. Pero ahora, el malware real es ejecutada dentro de la base de datos", dijo De Groot. "Esta es la primera vez que veo el malware escrito en SQL. Anteriormente, malware ha sido escrito en JS o PHP."
Por supuesto, este malware Magento también tiene su componente JS y PHP que se encarga de robar información de tarjetas de usuario, pero la parte de SQL es nueva. De acuerdo con de Groot, la parte SQL es allí para asegurar el malware sobrevive tanto como sea posible.
"El malware tiene resistentes contra los intentos de extracción", dijo. "El malware [ahora] ataca a la base de datos en lugar de la aplicación de comercio electrónico."
Según De Groot, esta cepa en particular aparece para infectar a las bases de datos después de los ataques de fuerza bruta en el /rss/Catálogo/notifystock/URL, incluso en tiendas completamente parcheadas.
