Los investigadores detectan un tipo diferente de campaña de robo de tarjetas de Magecart

Un atacante bajo el paraguas de Magecart ha infectado un número desconocido de sitios de comercio electrónico en los EE. UU., el Reino Unido y otros cinco países con malware para robar números de tarjetas de crédito e información de identificación personal (PII) perteneciente a las personas que realizan compras en estos sitios. Pero en un nuevo giro, el actor de amenazas también está utilizando los mismos sitios como anfitriones para entregar el malware de robo de tarjetas a otros sitios de destino.

Investigadores de Akamai quienes vieron la campaña en curso notan que esto no solo hace que la campaña sea diferente de la actividad anterior de Magecart, sino que también es mucho más peligrosa.

Evalúan que los ataques cibernéticos han estado ocurriendo durante al menos un mes y ya han afectado potencialmente a decenas de miles de personas. Akamai dijo que, además de los EE. UU. y el Reino Unido, ha detectado sitios web afectados por la campaña en Brasil, España, Estonia, Australia y Perú.

Robo de tarjetas de pago y más: un compromiso doble

Magecart es un colectivo informal de grupos ciberdelincuentes involucrados en ataques de robo de tarjetas de pago en línea. En los últimos años, estos grupos han inyectado sus lectores de tarjetas del mismo nombre en decenas de miles de sitios en todo el mundo, incluidos sitios como TicketMaster y British Airways — y les robaron millones de tarjetas de crédito, que luego han monetizado de diferentes maneras. 

Akamai contó los ataques de Magecart en 9,200 sitios de comercio electrónico el año pasado, de los cuales 2,468 seguían infectados a finales de 2022.

Lo tipico modus operandi para estos grupos ha sido inyectar subrepticiamente código malicioso en sitios de comercio electrónico legítimos, o en componentes de terceros, como rastreadores y carritos de compras, que utilizan los sitios, mediante la explotación de vulnerabilidades conocidas. Cuando los usuarios ingresan la información de la tarjeta de crédito y otros datos confidenciales en la página de pago de los sitios web comprometidos, los skimmers interceptan silenciosamente los datos y los envían a un servidor remoto. Hasta ahora, los atacantes se han dirigido principalmente a sitios que ejecutan la plataforma de comercio electrónico de código abierto Magento en ataques Magecart.

La última campaña es ligeramente diferente en el sentido de que el atacante no solo está inyectando un skimmer de tarjetas Magecart en los sitios de destino, sino que también está secuestrando muchos de ellos para distribuir código malicioso. 

“Una de las principales ventajas de utilizar dominios de sitios web legítimos es la confianza inherente que estos dominios han creado con el tiempo”, según el análisis de Akamai. “Los servicios de seguridad y los sistemas de puntuación de dominios suelen asignar niveles de confianza más altos a los dominios con un historial positivo y un historial de uso legítimo. Como resultado, las actividades maliciosas realizadas bajo estos dominios tienen una mayor probabilidad de pasar desapercibidas o ser tratadas como benignas por los sistemas de seguridad automatizados”.

Además, el atacante detrás de la última operación también ha estado atacando sitios que ejecutan no solo Magento sino también otro software, como WooCommerce, Shopify y WordPress.

Un enfoque diferente, el mismo resultado

“Una de las partes más notables de la campaña es la forma en que los atacantes configuran su infraestructura para llevar a cabo la campaña de robo de datos web”, escribió el investigador de Akamai, Roman Lvovsky, en la publicación del blog. "Antes de que la campaña pueda comenzar en serio, los atacantes buscarán sitios web vulnerables para que actúen como 'anfitriones' del código malicioso que se utiliza más tarde para crear el ataque de robo de datos web".

El análisis de Akamai de la campaña mostró que el atacante utilizó múltiples trucos para ocultar la actividad maliciosa. Por ejemplo, en lugar de inyectar el skimmer directamente en un sitio web de destino, Akamai descubrió que el atacante inyectaba un pequeño fragmento de código JavaScript en sus páginas web que luego recuperaba el skimmer malicioso de un sitio web host. 

El atacante diseñó el cargador de JavaScript para parecerse a Google Tag Manager, el código de seguimiento de Facebook Pixel y otros servicios legítimos de terceros, por lo que se vuelve difícil de detectar. El operador de la campaña similar a Magecart en curso también ha estado utilizando la codificación Base64 para ofuscar las URL de los sitios web comprometidos que alojan el skimmer. 

“El proceso de filtración de los datos robados se ejecuta a través de una solicitud HTTP directa, que se inicia mediante la creación de una etiqueta IMG dentro del código del skimmer”, escribió Lvovsky. "Los datos robados luego se agregan a la solicitud como parámetros de consulta, codificados como una cadena Base64".

Como detalle sofisticado, Akamai también encontró un código en el malware skimmer que garantizaba que no robaría la misma información personal y de tarjeta de crédito dos veces.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoAiStream. Inteligencia de datos Web3. Conocimiento amplificado. Accede Aquí.
• Acuñando el futuro con Adryenn Ashley. Accede Aquí.
• Compra y Vende Acciones en Empresas PRE-IPO con PREIPO®. Accede Aquí.
• Fuente: https://www.darkreading.com/attacks-breaches/different-kind-magecart-card-skimming-campaign