Australia: Donantes de Bushfire sufren ataque de robo de tarjetas de crédito

Iniciado por Dragora, Enero 11, 2020, 08:40:05 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Enero 11, 2020, 08:40:05 PM

Los atacantes han comprometido un sitio web que recolecta donaciones para las víctimas de los incendios forestales de Australia e inyectaron un script malicioso que roba la información de pago de los donantes.

Este tipo de ataque se llama Magecart e involucra a los piratas informáticos que comprometen un sitio web e inyectan JavaScript malicioso en el comercio electrónico o en las páginas de pago. Estos scripts luego robarán cualquier tarjeta de crédito o información de pago que se envíe y la enviarán a un sitio remoto bajo el control del atacante.

El Equipo de Inteligencia de Amenazas de Malwarebytes ha descubierto un sitio web legítimo que recolecta donaciones para los trágicos incendios forestales en Australia que ha sido comprometido por un script de Magecart.

Si bien los donantes probablemente no fueron blanco de este ataque, desafortunadamente están atrapados en el fuego cruzado.

Cuando un visitante del sitio agrega un artículo a su carrito, como una donación, un script malicioso de skimmer de tarjeta de crédito llamado ATMZOW se cargará en las páginas de pago.

Página de donación con el skimmer ATMZOW

Cuando un usuario envía su información de pago como parte del proceso de pago, el script malicioso robará la información enviada y la enviará al dominio vamberlo [.] Com. Este dominio se ofusca en el script como se muestra a continuación.


El dominio ofuscado al que se envía la información de pago

Jérôme Segura de Malwarebytes le dijo a BleepingComputer que una vez que se dieron cuenta del sitio comprometido pudieron cerrar el vamberlo [.] Com.

Por ahora, esto significa que a los visitantes del sitio ya no se les robará su información de pago.

Sin embargo, dado que el código aún está activo en el sitio, los piratas informáticos podrían modificarlo para utilizar un nuevo dominio que habilitará nuevamente el script de descremado.

Malwarebytes se ha puesto en contacto con el sitio sobre el script malicioso inyectado en su tienda de comercio electrónico, pero no ha recibido respuesta en este momento.

Skimmer activo en otros sitios

Usando la herramienta PublicWWW, Troy Mursch of  Bad Packets Report  también descubrió que este mismo script está actualmente activo en otros 39 sitios web


Skimmer activo en otros sitios

No se sabe si esos sitios están utilizando el mismo dominio para enviar información de pago.

Si lo están, con el cierre del dominio vamberlo [.] Com, ya no estarán activos también.

Vía: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario