MageCart compromete sitios de comercio electronico de Volusion

Los piratas informáticos comprometieron la infraestructura de la plataforma de comercio electrónico basada en la nube Volusion para inyectar a las páginas de pago de los clientes un código JavaScript malicioso que roba datos de tarjetas.

Los atacantes agregaron código para la inyección dinámica del script de robo de datos de la tarjeta a un JavaScript que es parte del software de comercio electrónico Volusion.

Es probable que miles de sitios web carguen el script de los atacantes y envíen información de pago al servidor de los atacantes.

El sigilo es el juego

El investigador de seguridad de Check Point, Marcel Afrahim, descubrió mientras compraba en Sesame Street Live Store, un sitio web de Feld Entertainment que vende productos oficiales de Sesame Street, que el sitio estaba comprometido.

La tienda está construida con Volusion, que incluso proporciona los nameservers. En la página de pago, Afrahim notó la carga de código JavaScript desde Google Cloud Storage (storage.googleapis.com), un servicio web de almacenamiento de archivos para almacenar y acceder a datos en la infraestructura de Google Cloud Platform.

Lo extraño era que este era el único recurso cargado de una fuente que no era 'sesamestreetlivestore.com' o 'volusion.com' sitios web afiliados.

El JavaScript malicioso se llama 'resources.js' y proviene de un bucket llamado 'volusionapi'.



Parece que el atacante fue cuidadoso al nombrar los archivos para que parecieran lo más inocuos posible. Esto se ve respaldado por la descripción del código, que se copió del repositorio de GitHub de Javascript Cookie v2.1.4, una API legítima para manejar cookies.


MageCart script on No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Sin embargo, el análisis del código revela que el script lee los valores escritos en los campos para información de la tarjeta de crédito, lo codifica en Base64 y lo almacena en el 'sessionStorage' temporal del navegador con el nombre '__utmz_opt_in_out'

A continuación, se filtra a 'volusion-cdn.com/analytics/beacon', el dominio del atacante que se creó para parecer que era parte de la infraestructura de Volusion.

Los nombres de la carpeta están diseñados para hacer que el tráfico parezca un análisis inofensivo o datos de seguimiento web. Aún más, al hacer una solicitud GET al dominio se redirige a un Volusion CDN (red de entrega de contenido) legítimo, señala el investigador.

Sin embargo, una búsqueda whois del dominio muestra que se registró el 7 de septiembre, lo que sugiere que el compromiso se produjo a principios del mes pasado y que los clientes de Volusion pueden haberse infectado en ese momento.



Robar datos de tarjetas de pago de esta manera se conoce como un compromiso de MageCart. RiskIQ notó el primer ataque de este tipo en 2010, pero los incidentes aumentaron recientemente y crecieron en proporciones enormes, con cientos de miles de sitios web infectados con JavaScript que roba datos de tarjetas de pago de las páginas de pago.

Miles de tiendas pueden verse afectadas

La carga del script malicioso en las páginas de los clientes de Volusion se realiza a través del JavaScript 'vnav.js', que se utiliza para navegar por el menú de la interfaz de usuario.

Según su descripción, el archivo es jQuery UI - v1.10.3 y no es específico de una tienda. Miles pueden estar infectados.



El script malicioso cargado por vnav.js estaba ubicado en 'storage.googleapis.com/volusionapi/resources.js' y contenía el script Magecart que robaría la información de pago ingresada en el formulario.



En la página de la compañía, Volusion cuenta con 30,000 comerciantes que utilizan activamente la plataforma. Son de una variedad de campos y la página dedicada muestra a los comerciantes que venden productos en las categorías de indumentaria, hogar y jardín, salud y belleza, automóviles e industria y electrónica. De nuestros cheques, no todos ellos todavía están en el negocio.

Una búsqueda rápida de los dominios que contienen el JavaScript de Volusion contaminado arrojó casi 6.600 resultados. Sin embargo, es posible que no todos estén comprometidos.

Tras los informes de los medios de comunicación y los investigadores de seguridad, Volusion abordó el problema hace unas horas. Antes de eso, Google tomó medidas y mostró la advertencia roja de "peligro de malware" cuando visitaba sitios web que cargaban JavaScript malicioso.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta