16 may. 2021

Magecart utiliza skimmers en sitios web de Magento

Los grupos de delitos cibernéticos están distribuyendo shells web PHP maliciosos disfrazados de favicon para mantener el acceso remoto a los servidores comprometidos e inyectar skimmers de JavaScript en las plataformas de compras en línea con el objetivo de robar información financiera de sus usuarios.

"Estos shells web conocidos como Smilodon o Megalodon se utilizan para cargar dinámicamente código de skimming de JavaScript a través de solicitudes del lado del servidor en las tiendas en línea", dijo Jérôme Segura de MalwareBytes. "Esta técnica es interesante ya que la mayoría de las herramientas de seguridad del lado del cliente no podrán detectar o bloquear el skimmer".

Inyectar skimmers web en sitios web de comercio electrónico para robar detalles de tarjetas de crédito es un modus operandi probado y comprobado de Magecart, un consorcio de diferentes grupos de delincuentes informáticos que se dirigen a los sistemas de carritos de compras en línea. También conocidos como ataques de Formjacking, los skimmers toman la forma de código JavaScript que los operadores insertan sigilosamente en un sitio web de comercio electrónico, a menudo en las páginas de pago, con la intención de capturar los detalles de la tarjeta de los clientes en tiempo real y transmitirlos a un servidor remoto.

Si bien la inyección de skimmers normalmente funciona mediante una solicitud del lado del cliente a un recurso de JavaScript externo alojado en un dominio controlado por un atacante cuando un cliente visita la tienda en línea en cuestión, el último ataque es un poco diferente porque el código del skimmer se introduce en el sitio comercial dinámicamente en el lado del servidor.

El malware de shell web basado en PHP se hace pasar por un favicon ("Magento.png"), con el malware insertado en los sitios comprometidos manipulando las etiquetas del icono de acceso directo en el código HTML para apuntar al archivo de imagen PNG falso. Este webshell, a su vez, está configurado para recuperar la carga útil de la siguiente etapa de un host externo, un skimmer de tarjetas de crédito que comparte similitudes con otra variante utilizada en los ataques Cardbleed en septiembre pasado, lo que sugiere que los actores de amenazas modificaron su conjunto de herramientas después de la divulgación pública.

Malwarebytes atribuyó la última campaña a Magecart Group 12 basándose en la superposición de Tácticas, Técnicas y Procedimientos empleados, y agregó que "el nombre de dominio más nuevo que encontramos (zolo[.]pw) está alojado en la misma dirección IP (217.12.204[.]185) como recaptcha-in[.]pw y google-statik[.]pw, dominios previamente asociados con Magecart Group 12.

Operando con la intención principal de capturar y extraer datos de pago, los actores de Magecart han adoptado una amplia gama de vectores de ataque durante los últimos meses para permanecer fuera del radar, evitar la detección y saquear los datos. Desde ocultar el código del ladrón de tarjetas dentro de los metadatos de la imagen y llevar a cabo ataques de homógrafos IDN para plantar skimmers web ocultos en el archivo de favicon de un sitio web hasta usar Google Analytics y Telegram como un canal de exfiltración, el sindicato de delitos cibernéticos ha intensificado sus esfuerzos por comprometer las tiendas en línea.

El skimming se ha vuelto una práctica tan prevalente y lucrativa que Lazarus Group, un colectivo de delincuentes informáticos patrocinados por el estado afiliados a Corea del Norte, atacó sitios web que aceptan pagos en criptomonedas con rastreadores de JavaScript maliciosos para robar bitcoins y ETHER en una nueva campaña llamada "BTC Changer", que comenzó a principios del año pasado.

Fuente: THN

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!