Bl0ckch41nnewsNueva campaña de Magecart secuestra sitios legítimos para alojar scripts con skimmers de tarjetas de crédito
Una nueva campaña de robo de tarjetas de crédito de Magecart secuestra
sitios legítimos para actuar como servidores de comando y control (C2)
«improvisados» y para inyectar y ocultar los skimmers en sitios de
comercio electrónico específicos.
Un ataque de Magecart es cuando los delincuentes informáticos ingresan a
las tiendas en línea para inyectar scripts maliciosos que roban las
tarjetas de crédito y la información personal de los clientes durante el
pago.
Según los investigadores de Akamai que monitorean esta campaña, ha
comprometido a organizaciones en los Estados Unidos, el Reino Unido,
Australia, Brasil, Perú y Estonia.
La firma de ciberseguridad también señala que muchas de las víctimas no se han
dado cuenta de que fueron violadas durante más de un mes, lo que es un
testimonio del sigilo de estos ataques.
Abusar de sitios legítimos
El primer paso de los atacantes es identificar sitios legítimos vulnerables y
hackearlos para alojar su código malicioso, usándolos como servidores C2 para
sus ataques.
Al distribuir los skimmers de tarjetas de crédito utilizando sitios web
legítimos con buena reputación, los actores de amenazas evaden la detección y
los bloqueos y se liberan de la necesidad de configurar su propia
infraestructura.
A continuación, los atacantes pasan a inyectar un pequeño fragmento de
JavaScript en los sitios comerciales de destino y obtienen el código malicioso
de los sitios web previamente comprometidos.
«Aunque no está claro cómo se violan estos sitios, según nuestra
investigación reciente de campañas anteriores similares, los atacantes
generalmente buscan vulnerabilidades en la plataforma de comercio digital de
los sitios web objetivo (como Magento, WooCommerce, WordPress, Shopify, etc.
.) o en servicios de terceros vulnerables utilizados por el sitio web»,
explica Akamai en el informe.
Para aumentar el sigilo del ataque, los actores de amenazas ofuscan el
skimmer en Base64, que también oculta la URL del host, y construyeron
su estructura de una manera que se asemeja a Google Tag Manager o Facebook
Pixel, que son servicios populares de terceros y poco probable que levanten
sospechas.
Detalles del robo de datos
Akamai informa haber visto dos variantes del skimmer utilizadas en esta
campaña en particular.
La primera es una versión muy ofuscada que contiene una lista de selectores de
CSS que apuntan a la PII del cliente y los detalles de la tarjeta de crédito.
Los selectores de CSS eran diferentes para cada sitio objetivo, hechos a la
medida para coincidir con cada víctima.
La segunda variante de skimmer no estaba tan bien protegida, exponiendo
indicadores en el código que ayudaron a Akamai a mapear el alcance de la
campaña e identificar víctimas adicionales.
Después de que los skimmers roban los detalles de los clientes, los
datos se configuran en el servidor del atacante a través de una solicitud HTTP
creada como una etiqueta IMG dentro del skimmer. Se aplica una capa de
codificación Base64 a los datos para ofuscar la transmisión y minimizar la
probabilidad de que la víctima descubra la infracción.
Los propietarios de sitios web pueden defenderse contra las infecciones de
Magecart protegiendo adecuadamente las cuentas de administrador del sitio web
y aplicando actualizaciones de seguridad para su CMS y complementos.
Los clientes de tiendas en línea pueden minimizar el riesgo de exposición de
datos utilizando métodos de pago electrónicos, tarjetas virtuales o
estableciendo límites de cargo en sus tarjetas de crédito.
Fuente:
BC
Los comentarios están cerrados.