Infectan los sitios de comercio electrónico

Iniciado por Dragora, Enero 16, 2019, 07:07:17 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Enero 16, 2019, 07:07:17 PM Ultima modificación: Enero 16, 2019, 08:32:12 PM por Gabriela

Los hackers infectan los sitios de comercio electrónico al comprometer a su socio publicitario

Magecart ataca de nuevo, uno de los grupos de piratería más notorios se especializa en el robo de datos de tarjetas de crédito de sitios web de comercio electrónico con poca seguridad.
Según investigadores de seguridad de RiskIQ y Trend Micro, los ciberdelincuentes de un nuevo subgrupo de Magecart, etiquetado como "Magecart Group 12", recientemente han comprometido con éxito casi 277 sitios web de comercio electrónico mediante el uso de ataques en la cadena de suministro.
Magecart es el mismo grupo de analizadores de tarjetas de crédito digitales que ocuparon los titulares el año pasado por llevar a cabo ataques contra algunas grandes empresas, como Ticketmaster , British Airways y Newegg .
Normalmente, los piratas informáticos de Magecart comprometen los sitios de comercio electrónico e insertan código JavaScript malicioso en sus páginas de pago que capturan en silencio la información de pago de los clientes que realizan compras en los sitios y luego los envían al servidor remoto del atacante.

Sin embargo, los investigadores de las dos empresas revelaron que, en lugar de comprometer directamente los sitios web dirigidos, el Grupo 12 de Magecart pirateaba e insertaba su código de skimming en una biblioteca de JavaScript de terceros, permitiendo que todos los sitios web que usan ese script carguen el código malicioso.




La biblioteca de terceros a la que apunta Magecart Group 12 es una empresa francesa de publicidad en línea, llamada Adverline, cuyo servicio está siendo utilizado por cientos de sitios web de comercio electrónico europeos para mostrar anuncios.


"En el momento de nuestra investigación, los sitios web incrustados con el script de redireccionamiento de Adverline cargaron el código de skimming de Magecart Group 12, que, a su vez, omite la información de pago ingresada en las páginas web y luego la envía a su servidor remoto", señala Trend Micro .



Que es mas El investigador de seguridad Yonathan Klijnsma en RiskIQ descubrió que el código skimmer para MageCart Group 12 se protege de la ofuscación y el análisis al realizar una verificación de integridad dos veces.

"Magecart Group 12 usa un kit de herramientas de limpieza que emplea dos secuencias de comandos ofuscadas. La primera secuencia de comandos es principalmente para anti-inversión, mientras que la segunda secuencia de comandos es el principal código de identificación de datos", dicen los investigadores. En el momento de la infección, el código de verificación de datos primero verifica si se ejecuta en una página web de carrito de la compra adecuada. Lo hace detectando cadenas relacionadas en la URL como 'pago y envío', 'facturación', 'compra', 'panier', que significa 'cesta' en francés, y 'kasse', que significa 'pago' en alemán.




Una vez que detecte cualquiera de estas cadenas en la URL, la secuencia de comandos comenzará a realizar el comportamiento de skimming copiando tanto el nombre del formulario como los valores ingresados ​​por el usuario en el formulario de escritura de la página web.

Los datos de pago y facturación robados se almacenan en el LocalStorage de JavaScript con el nombre clave 'Caché' en formato Base64. Para especificar víctimas individuales, el código también genera un número aleatorio que se reserva en LocalStorage con el nombre de clave E-tag.
"Un evento de JavaScript 'descargar' se activa cuando el usuario cierra o actualiza la página web de pago. La secuencia de comandos envía los datos de pago, el número aleatorio (etiqueta electrónica) y el dominio del sitio web de comercio electrónico a un servidor remoto. a través de HTTP POST, con codificación Base64 en toda la fecha de envío ", explican los investigadores de Trend Micro. Los investigadores también publicaron los COI asociados con la operación de este Grupo 12, que incluye los dominios que los skimmers utilizaron para inyectar su código en los sitios web afectados y recibir la información de pago robada.
Al contactar, Adverline solucionó el problema inmediatamente y eliminó el código malicioso de su biblioteca de JavaScript.


Via:hackernews.com