El malware Visbot ha sido encontrado en 6.691 tiendas online diseñadas con el gestor de contenidos Magento que se esconde en los servidores web, roba información de la tarjeta de crédito, lo cifra, lo oculta dentro de una imagen, y envía los datos de la tarjeta de crédito cifrados a los servidores de un ladrón
Visbot no es una nueva amenaza, se descubrió a finales de marzo 2015 mediante SnapFast, una empresa de alojamiento web especializada en alojamiento de Magento.
A pesar de esto, el malware ha mantenido un bajo perfil, ya que es muy difícil de detectar infecciones Visbot, y no hay muchos propietarios de sitios han sido capaces de detectar nada malo en el primer momento.
A diferencia de malware Magento similar que recoge datos de la tarjeta de crédito, Visbot no funciona en frontend del sitio, a través de código expuesto a los investigadores y los usuarios finales. Visbot sólo funciona con código del lado del servidor. Los únicos que podrían descubrir infecciones Visbot son los webmasters, y tienen que estar buscando en primer lugar.
El malware espera a que los usuarios envíen datos de la tarjeta de crédito, y lo intercepta en el lado del servidor. Visbot toma estos datos, y lo encripta con una clave de cifrado pública, hardcoded en el código fuente del software malicioso.
Estos datos encriptados se embala dentro de un archivo de imagen, utilizando una técnica conocida como esteganografía, que oculta datos basados en texto dentro de archivos de imagen.
Visbot deja esta imagen en una de las carpetas públicas del sitio, y el autor de malware recupera a intervalos regulares. Si los sitios están ejecutando servidores de seguridad, todo lo que ven es un usuario descargar una imagen, una ocurrencia muy común, especialmente en tiendas de comercio electrónico.
Estos son el nombre de los ficheros donde Visbot generalmente oculta los datos de tarjetas de crédito robadas: bkg_btn-close2_bg.gif, btn_back_bg_bg.gif, btn_cancel_bg_bg.gif, left_button_back.gif, mage.jpg, nav1_off_bg.gif, notar-msg_bg.png, section_menu_link_bg_bg.gif, especie de flecha-down_bg.png
El autor Visbot tiene una clave de cifrado privada, que en combinación con la clave pública, puede descifrar los datos, es decir, ningún otro ladrón puede descargar las imágenes extraen datos de la tarjeta de crédito, y robar los datos.
Hay una manera de detectar sitios infectados con Visbot
De acuerdo con Willem de Groot, analista de seguridad para Byte.nl, el malware tiene un talón de Aquiles. A fin de que su creador pueda realizar un seguimiento de los sitios que infecta, y ver si todavía están infectadas, utiliza un agente de usuario especial.
Esta es también la forma en que otros webmasters pueden comprobar si sus sitios están infectadas con Visbot. Se puede hacer esto mediante la ejecución del siguiente comando Linux: curl -LH 'User-Agent: Visbot/2.0 (+http://www.visvo.com/en/webmasters.jsp;bot@visvo.com)' \ http://your-site.com
De Groot es también el fundador de MageReport, un sitio web que ofrece auditorías de seguridad para los sitios de Magento. Los dueños de tiendas que no pueden acceder a un terminal de Linux pueden utilizar MageReport para detectar si su tienda está infectado con Visbot.
De acuerdo con un análisis masivo que llevoa cabo Groot, había 6.691 tiendas Magento infectadas con esta amenaza. El investigador dijo que contactó a los proveedores ya las autoridades de alojamiento, que ahora están notificando a los propietarios de tiendas afectadas.
Infecciones Visbot suelen tener lugar cuando un hacker consigue acceso a una tienda Magento, ya sea por conexiones de fuerza bruta o mediante el aprovechamiento de vulnerabilidades sin parches contra sitios web. De acuerdo con el informe sobre un sitio de tendencia Sucuri hackeado, Magento es la tercer CMS más hackeado después de WordPress y Joomla.
Mantener una tienda Magento al día y el uso de contraseñas seguras evita infecciones con Visbot y otros ladrones de tarjetas de crédito.
Visbot no es el primer malware que fue visto ocultando datos de tarjetas de crédito robadas en el interior de los archivos de imagen. En octubre, Sucuri detecta un ladrón de la tarjeta de crédito Magento similar, pero éste operado a través de código del lado del cliente malicioso JavaScript incrustado en la página de pago.
