Magecart: Piratas inyectan skimmers de iFrame para robar datos de pago

  • 0 Respuestas
  • 388 Vistas

0 Usuarios y 2 Visitantes están viendo este tema.

Desconectado Dragora

  • *
  • Moderador Global
  • Mensajes: 1200
  • Actividad:
    100%
  • Country: gt
  • Reputación 16
  • La resistencia es inútil, serás absorbido.
    • Ver Perfil


Los investigadores de seguridad cibernética descubrieron hoy una nueva campaña de skimmer de Magecart que hasta ahora ha comprometido con éxito al menos 19 sitios web de comercio electrónico diferentes para robar los detalles de la tarjeta de pago de sus clientes.

Según un informe publicado hoy y compartido con The Hacker News, los investigadores de RiskIQ detectaron un nuevo skimmer digital, denominado " MakeFrame ", que inyecta iframes HTML en páginas web para suplantar datos de pago.

Los ataques de MakeFrame se han atribuido a Magecart Group 7 por su enfoque de utilizar los sitios comprometidos para alojar el código de descremado, cargar el skimmer en otros sitios web comprometidos y extraer los datos robados.

Los ataques de Magecart generalmente involucran a malos actores que comprometen la tienda en línea de una compañía para desviar los números de tarjeta de crédito y los detalles de la cuenta de los usuarios que realizan compras en el sitio infectado al colocar skimmers JavaScript maliciosos en los formularios de pago.

Es el último de una serie de ataques de Magecart, un término general para ocho grupos de piratería diferentes, todos los cuales se centran en robar números de tarjetas de crédito para obtener ganancias financieras.

Los piratas informáticos asociados con las tácticas de Magecart han golpeado muchos sitios web de alto perfil en los últimos años, incluidos NutriBullet , sitios web de reventa de boletos de los Juegos Olímpicos , Macy's, Ticketmaster , British Airways , el gigante de la electrónica de consumo Newegg y muchas otras plataformas de comercio electrónico .

RiskIQ había dicho que solo se necesitaron 22 líneas de infección de código JavaScript para que los atacantes obtuvieran acceso en tiempo real a los datos confidenciales en cuestión.

Usando ofuscación para evitar la detección

El nuevo código MakeFrame Skimmer, un blob de la serie de cadenas codificadas en hexadecimal y el código ofuscado, se incluye entre el código benigno para escapar de la detección, dijeron investigadores de RiskIQ.

Pero en un giro, el código es imposible de desofuscar debido a una verificación (_0x5cc230 ['removeCookie']) que asegura que no se altere. Cuando esta verificación pasa, el código del skimmer se reconstruye decodificando las cadenas ofuscadas.



Una vez que se agrega el skimmer en el sitio de la víctima, MakeFrame también tiene disposiciones para emular el método de pago, usar iframes para crear un formulario de pago, detectar los datos ingresados ​​en el formulario de pago falso al presionar el botón "enviar" y extraer la tarjeta información en forma de archivos '.php' a otro dominio comprometido (piscinasecologicas dot com).

"Este método de exfiltración es el mismo que el utilizado por Magecart Group 7, que envía datos robados como archivos .php a otros sitios comprometidos para la exfiltración", dijo RiskIQ.

"Cada sitio comprometido utilizado para exfil de datos también ha sido inyectado con un skimmer y también se ha utilizado para alojar el código de skimming cargado en otros sitios de víctimas".



Al afirmar que se han identificado tres versiones distintas de este skimmer con diferentes niveles de ofuscación, RiskIQ dijo que cada uno de los sitios web afectados es una empresa pequeña o mediana.

Prevalencia creciente de los ataques de Magecart

Aunque se detectó en la naturaleza desde 2010, este tipo de intrusión, denominado ataque Magecart debido a la preferencia inicial de los actores de la amenaza por la plataforma de comercio electrónico Magento para recopilar datos de tarjetas ilícitas, se ha intensificado en los últimos años.

"Magecart es un sindicato de cibercrimen en rápido crecimiento compuesto por docenas de subgrupos que se especializan en ataques cibernéticos que involucran el robo de tarjetas de crédito digitales", señaló anteriormente RiskIQ en su informe sobre los actores de Magecart.

Además, los actores detrás de estos compromisos han automatizado el proceso de comprometer sitios web con skimmers al escanear activamente en busca de buckets de Amazon S3 mal configurados .

La reciente ola de ataques de e-skimming se ha extendido tanto, afectando a más de 18,000 dominios , que llevó al FBI a emitir una advertencia sobre la amenaza cibernética emergente e instó a las empresas a erigir suficientes barreras de seguridad para protegerse.

La agencia de inteligencia, en un aviso publicado el mes pasado, recomendó que las compañías mantengan su software actualizado, habiliten la autenticación multifactor, segreguen la infraestructura de red crítica y estén atentos a los ataques de phishing.

"Este último skimmer del Grupo 7 es una ilustración de su evolución continua, perfeccionando técnicas probadas y verdaderas y desarrollando nuevas todo el tiempo", concluyó RiskIQ.

"No están solos en sus esfuerzos por mejorar, persistir y ampliar su alcance. Los datos de RiskIQ muestran que los ataques de Magecart han crecido un 20 por ciento en medio de la pandemia de COVID-19. Con muchas personas confinadas en sus hogares obligadas a comprar lo que necesitan en línea, la amenaza de descremado digital para el comercio electrónico es tan pronunciado como siempre ".

Vía: You are not allowed to view links. Register or Login

 

"Estar preparados para la ciberguerra"

Iniciado por graphixx

Respuestas: 0
Vistas: 2902
Último mensaje Febrero 16, 2016, 08:03:52 pm
por graphixx
Chrome Dev Editor, el IDE de Google para programar desde Chrome

Iniciado por Flemon

Respuestas: 0
Vistas: 3188
Último mensaje Julio 27, 2014, 12:45:58 pm
por Flemon
GOOGLE ASSISTANT | El asistente personal para Android de Google

Iniciado por CNait

Respuestas: 1
Vistas: 3054
Último mensaje Noviembre 07, 2016, 04:26:11 am
por Stiuvert
EK presenta sus bloques full cover para las AMD RX 5700 y RX 5700 XT con D-RGB

Iniciado por Dragora

Respuestas: 0
Vistas: 218
Último mensaje Noviembre 13, 2019, 11:08:32 am
por Dragora
Jefe de RRHH de Google es tajante:"El Título Universitario no sirve para nada"

Iniciado por graphixx

Respuestas: 0
Vistas: 3670
Último mensaje Enero 27, 2016, 03:18:51 pm
por graphixx