9 jun 2023

Nueva campaña de Magecart secuestra sitios legítimos para alojar scripts con skimmers de tarjetas de crédito

Una nueva campaña de robo de tarjetas de crédito de Magecart secuestra sitios legítimos para actuar como servidores de comando y control (C2) "improvisados" y para inyectar y ocultar los skimmers en sitios de comercio electrónico específicos.

Un ataque de Magecart es cuando los delincuentes informáticos ingresan a las tiendas en línea para inyectar scripts maliciosos que roban las tarjetas de crédito y la información personal de los clientes durante el pago.

Según los investigadores de Akamai que monitorean esta campaña, ha comprometido a organizaciones en los Estados Unidos, el Reino Unido, Australia, Brasil, Perú y Estonia.

La firma de ciberseguridad también señala que muchas de las víctimas no se han dado cuenta de que fueron violadas durante más de un mes, lo que es un testimonio del sigilo de estos ataques.

Abusar de sitios legítimos

El primer paso de los atacantes es identificar sitios legítimos vulnerables y hackearlos para alojar su código malicioso, usándolos como servidores C2 para sus ataques.

Al distribuir los skimmers de tarjetas de crédito utilizando sitios web legítimos con buena reputación, los actores de amenazas evaden la detección y los bloqueos y se liberan de la necesidad de configurar su propia infraestructura.

A continuación, los atacantes pasan a inyectar un pequeño fragmento de JavaScript en los sitios comerciales de destino y obtienen el código malicioso de los sitios web previamente comprometidos.

"Aunque no está claro cómo se violan estos sitios, según nuestra investigación reciente de campañas anteriores similares, los atacantes generalmente buscan vulnerabilidades en la plataforma de comercio digital de los sitios web objetivo (como Magento, WooCommerce, WordPress, Shopify, etc. .) o en servicios de terceros vulnerables utilizados por el sitio web", explica Akamai en el informe.

Para aumentar el sigilo del ataque, los actores de amenazas ofuscan el skimmer en Base64, que también oculta la URL del host, y construyeron su estructura de una manera que se asemeja a Google Tag Manager o Facebook Pixel, que son servicios populares de terceros y poco probable que levanten sospechas.

Detalles del robo de datos

Akamai informa haber visto dos variantes del skimmer utilizadas en esta campaña en particular.

La primera es una versión muy ofuscada que contiene una lista de selectores de CSS que apuntan a la PII del cliente y los detalles de la tarjeta de crédito. Los selectores de CSS eran diferentes para cada sitio objetivo, hechos a la medida para coincidir con cada víctima.

La segunda variante de skimmer no estaba tan bien protegida, exponiendo indicadores en el código que ayudaron a Akamai a mapear el alcance de la campaña e identificar víctimas adicionales.

Después de que los skimmers roban los detalles de los clientes, los datos se configuran en el servidor del atacante a través de una solicitud HTTP creada como una etiqueta IMG dentro del skimmer. Se aplica una capa de codificación Base64 a los datos para ofuscar la transmisión y minimizar la probabilidad de que la víctima descubra la infracción.

Los propietarios de sitios web pueden defenderse contra las infecciones de Magecart protegiendo adecuadamente las cuentas de administrador del sitio web y aplicando actualizaciones de seguridad para su CMS y complementos.

Los clientes de tiendas en línea pueden minimizar el riesgo de exposición de datos utilizando métodos de pago electrónicos, tarjetas virtuales o estableciendo límites de cargo en sus tarjetas de crédito.

Fuente: BC

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!