Pesquisadores da Akamai identificaram uma nova ameaça cibernética: a campanha Xurum. Esse ataque sofisticado tem como alvo específico as plataformas online que utilizam o Magento 2. Desde janeiro deste ano, os ciberatacantes têm demonstrado interesse particular nas estatísticas de pagamento de pedidos realizados nas últimas semanas.
A campanha, que carrega indícios de origem russa, utiliza técnicas avançadas, como a criação de um componente Magento disfarçado de “GoogleShoppingAds”. Além disso, os atacantes empregam um web shell de alta complexidade, o “wso-ng”, ativado por meio de um cookie específico.
A vulnerabilidade CVE-2022-24086, revelada em 2022, é o ponto de entrada para esses criminosos, permitindo a execução de códigos PHP em plataformas vulneráveis. Durante o ataque, foram identificados endereços IP associados a provedores de hospedagem na Alemanha e nos EUA.
O nome “Xurum” foi escolhido para esta campanha, fazendo referência a termos latinos ou a uma língua extinta da Guatemala. Além disso, os atacantes utilizam o exploit Dirty COW, visando elevar seus privilégios no sistema Linux.
Para empresas que utilizam Magento, a Akamai sugere que mantenham os sistemas atualizados e considerem a implementação de soluções de segurança robustas, como o Akamai App & API Protector, para garantir a integridade de suas operações e a segurança de seus clientes.