15 may. 2020

Magecart: Skimmers por software instalados en tiendas roban tarjetas de crédito

El investigador de seguridad Max Kersten advierte sobre una nueva ola de atacantes de Magecart y ha encontrado al menos 1.236 dominios infectados con skimmers electrónicos. Entre los infectados existen sitios brasileros y argentinos.
Los grupos de delincuentes bajo el paraguas de  Magecart continúan apuntando a tiendas electrónicas para robar datos de tarjetas de pago con skimmers de software. Las empresas de seguridad han monitoreado las actividades de al menos una docena de grupos delictivos de este tipo.

La lista de víctimas de estos grupos es larga e incluye varias plataformas importantes como British AirwaysNeweggTicketmasterMyPillow and Amerisleep, y Feedify. Según un informe conjunto publicado por RiskIQ y FlashPoint, algunos grupos están más avanzados que otros, en particular, "Group 4" parece ser muy sofisticado.

Se han detectado millones de instancias de Magecart y los expertos en seguridad han descubierto decenas de scripts de skimming.

Los resultados de esta investigación se basan en el resultado de los datos que están presentes en  UrlSca. Comenzando con un dominio de skimmer sobre el que escribió Jacob Pimental, uno puede buscar el momento en que el dominio de skimmer cambió en la cadena de infección. En el análisis publicado por los expertos dice que "La repetición de este proceso da como resultado una lista de todos los dominios de exfiltración en la cadena hasta que se interrumpe o se detiene la búsqueda. Además, uno puede consultar de forma recursiva cada dominio afectado para buscar otros dominios de skimmer. Esta adición se considera fuera del alcance de esta investigación".

Otros expertos y empresas de seguridad ya han rastreado la mayoría de los dominios descubiertos por Kersten y, aunque ya han informado de las infecciones a los administradores, el código malicioso todavía está presente.

Los expertos dividieron los resultados en tres grupos, los sitios que aún están disponibles, la categoría de productos y la ubicación geográfica de la sede de las tiendas en línea.Kersten informó su descubrimiento a 200 propietarios o administradores de sitios web sin recibir ninguna respuesta.

El 70% de las 1.236 tiendas electrónicas encontradas infectadas todavía era accesible, muchas de ellas no estaban completamente configuradas.

La mayoría de los sitios infectados se encuentran en los EE. UU. (303), seguidos de la India (79) y el Reino Unido (68). La mayoría de los sitios parecen haber sido comprometidos por el "Group 12" de MageCart, que es un grupo también muy activo.

"Es difícil atribuir las infecciones de skimmer a un grupo específico, dado que los skimmers son bastante genéricos y fáciles de obtener. Las tendencias en los datos muestran enfoques posiblemente interesantes, suponiendo que los datos de entrada no estén sesgados", concluye el experto.

"Si ha comprado en cualquiera de las tiendas que se encuentran en la lista a continuación entre las fechas indicadas, es probable que sus credenciales de tarjeta de crédito se vean comprometidas".

Fuente: SecurityAffairs

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!