(https://i.postimg.cc/j2kChwbw/Hackers-hide-credit-card.png) (https://postimages.org/)
Los piratas informáticos han ideado un método furtivo para robar datos de tarjetas de pago de tiendas en línea, comprometidas que reduce la huella de tráfico sospechoso y les ayuda a evadir la detección.
En lugar de enviar la información de la tarjeta a un servidor que controlan, los piratas informáticos la ocultan en una imagen JPG y la almacenan en el sitio web infectado.
Exfiltración de datos sencilla
Los investigadores de la empresa de seguridad de sitios web Sucuri encontraron la nueva técnica de exfiltración al investigar una tienda en línea comprometida que ejecuta la versión 2 de la plataforma de comercio electrónico de código abierto Magento.
Estos incidentes también se conocen como ataques Magecart y comenzaron hace años. Los ciberdelincuentes que obtienen acceso a una tienda en línea a través de una vulnerabilidad o debilidad plantan un código malicioso diseñado para robar los datos de las tarjetas de los clientes al momento de pagar.
Sucuri encontró un archivo PHP en el sitio web comprometido que los piratas informáticos habían modificado para cargar código malicioso adicional creando y llamando a la función getAuthenticates.
(https://i.postimg.cc/NfS59HDZ/Phishing-sites-now-detect-virtual-machines-1.png) (https://postimages.org/)
El código anterior también creó en una ubicación pública de la tienda infectada una imagen JPG, que se usaría para almacenar datos de tarjetas de pago de los clientes en forma codificada.
Esto permitió a los atacantes descargar fácilmente la información como un archivo JPG sin activar ninguna alarma en el proceso, ya que parecería que un visitante simplemente descargara una imagen del sitio web.
(https://i.postimg.cc/SK7svt4p/Phishing-sites-now-detect-virtual-machines-2.png) (https://postimages.org/)
Al analizar el código, los investigadores determinaron que el código malicioso utilizó el marco de Magento para capturar la información de la página de pago entregada a través del parámetro Customer_.
Si el cliente que proporcionó los datos de la tarjeta inició sesión como usuario, el código también robó su dirección de correo electrónico, dijo Sucuri en una publicación de blog la semana pasada.
Los investigadores dicen que casi todos los datos enviados en la página de pago están presentes en el parámetro Customer_, que incluye los detalles de la tarjeta de pago, el número de teléfono y la dirección postal.
(https://i.postimg.cc/W4jpg6kY/Phishing-sites-now-detect-virtual-machines-3.png) (https://postimages.org/)
Toda la información anterior se puede utilizar para el fraude con tarjetas de crédito, ya sea directamente por los piratas informáticos o por otra parte que compre los datos, o para implementar campañas de phishing y spam más específicas.
Sucuri dice que este método es lo suficientemente sigiloso como para que los propietarios de sitios web lo pierdan al verificar si hay una infección. Sin embargo, las comprobaciones de control de integridad y los servicios de supervisión de sitios web deberían poder detectar cambios, como modificaciones de código o la adición de nuevos archivos.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/hackers-hide-credit-card-data-from-compromised-stores-in-jpg-file/