Magecart infecta cientos de webs de comercio electrónico

Esta vez, el grupo "Magecart Group 12" ha comprometido 277 webs de comercio electrónico mediante la inserción de código JavaScript malicioso en una librería usada por la empresa de publicidad Adverline.

Normalmente el grupo Magecart cuando compromete un sitio web de comercio electrónico, inserta código malicioso después para capturar la información del pago realizado. Así es como en el pasado lograron acceder a la información bancaria de los clientes de las plataformas TicketMaster, British Airways y Newegg.

Sin embargo, investigadores de RiskQ y Trend Micro descubrieron cómo esta vez, en lugar de comprometer directamente webs de comercio electrónico, insertaron código JavaScript en una librería alojada en una compañía de publicidad francesa llamada Adverline. Lo que permitió interceptar la información de pago de todos los sitios web que usaban esta librería.

Durante la infección, se comprueba que la web pertenezca a una plataforma de comercio electrónico reconocida, mediante la detección de cadenas en la URL como "checkout", "billing", "purchase", etc.

Una vez que alguna de esas cadenas es detectada en la URL, el script entonces copia los valores introducidos por el usuario en el formulario y los envía a una máquina controlada por los atacantes.

Fuente: Hispasec