Portada » El blog de Comvive » El Blog de Comvive » Hosting » Prestashop: Infección de malware XsamXadoo / Bajatax

Prestashop: Infección de malware XsamXadoo / Bajatax

Vulnerabilidad Prestashop

Hemos detectado la infección con Malware que afecta a sitios realizados con Prestashop. Esta infección se produce a través de varios módulos:

  • phpunit
  • explorerpro (módulo)
  • sampledatainstall (módulo)
  • colorpictures (módulo)

Desde Comvive se ha notificado a todos los clientes que disponían de un hosting con Prestashop e incluían este módulo del riesgo que conlleva.

XsamXadoo o Bajatax

Xsamxadoo o Bajatax es como se identifica el malware que se instala en los Prestashop utilizando esta vulnerabilidad. La cual, además de crear ficheros específicos, modifica otros propios de Prestashop lo cual le garantiza una posible vuelta de entrada en un futuro.

¿Cómo afecta la vulnerabilidad?

Las vulnerabilidades cuando son explotadas, siempre buscan un fin. En algunos casos puede ser el conseguir enlaces SEO o visitas a páginas publicitadas con las que el atacante obtiene un ingreso por publicidad, phishing, el envío de SPAM, el obtener un defacement de la web o como en este caso datos.

Como se ha visto últimamente, parece que los hackers lo que quieren son datos de acceso, personales y a ser posible bancarios, ya que estos datos son vendidos a compradores sin escrúpulos que en el mejor de los casos los usarán para fines comerciales, pero que desgraciadamente, la mayoría de las ocasiones son usados para fines delictivos.

En este caso, lo que hacían era modificar una serie de ficheros y añadían una llamada aun bot de Telegram. Cada vez que un usuario accedía automáticamente se enviaba la url, usuario y password en texto plano por Telegram al hacker. Además en un segundo tipo de infección, se lo enviaban por mail a una cuenta de Gmail.

¿Qué ficheros crea?

Como hemos indicado anteriormente hemos detectado que además de crearse sus propios ficheros, cosa que es normal en la mayoría de infecciones de este tipo, la modificación de ficheros propios de Prestashop para llevar a cabo su cometido.

Los ficheros que hemos detectado que crea para su propio uso, en la mayoría tienen referencia a su nombre:

  • xsamxadoo.php
  • ex_bajatax.php
  • bajatax.php
  • bajatax_2020_2.php
  • xsam_xadoo_bot.php
  • xsamxadoo.php.png
  • xsamxadoo.php.jpg
  • XsamXadoo.xxx
  • XsamXadoo_Bot_All.php

Aunque no todos llevan esta asociación:

  • DB.php
  • list.txt
  • d5709275567789f72fc3c884b88d1a84.php
  • 4cad8c9e12069fa7513217d46a478eb5.php
  • atx.php

¿Que ficheros de Prestashop modifica?

Lo primero que hace es modificar los módulos para asegurarse su infección y añade:

$path_exploit_payloads=array("/modules/explorerpro/action.php","/modules/sampledatainstall/sampledatainstall-ajax.php","/modules/colorpictures/ajax/upload.php",);

Pero además modifica 3 fichero importantes del propio Prestashop:

  • classes/Customer.php
  • classes/Employee.php
  • controllers/admin/AdminLoginController.php

¿Cómo corregirlo?

Los usuarios de Comvive de Hosting compartido o Servidor dedicado, puede pedir que se revise y se restauren de un backup estos ficheros en caso de haber sido comprometido.

Lo primero es eliminar desde el propio Prestashop los módulos afectados y luego revisar los ficheros que puedan tener las cadenas de texto que hagan referencia a lo anteriormente visto.

Con el listado de ficheros comprometidos, eliminar los que no pertenecen a Prestashop, restaurar de backup los ficheros que si lo son y han sido comprometidos y por último cambiar la password de la BBDD.

Tenga en cuenta que han podido tener acceso a la BBDD donde Prestashop almacena los password de forma encriptada además de los usuarios que han ido haciendo login han enviado en texto plano sus contraseñas al correo y telegram citado anteriormente, por lo que deberá avisar a sus usuarios para que hagan un cambio de password y tomen las medidas oportunas.

Si te ha gustado, compártelo

Entradas relacionadas

× ¿Cómo puedo ayudarte?