Magecart: Piratas inyectan skimmers de iFrame para robar datos de pago

Iniciado por Dragora, Abril 03, 2020, 05:59:29 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.



Los investigadores de seguridad cibernética descubrieron hoy una nueva campaña de skimmer de Magecart que hasta ahora ha comprometido con éxito al menos 19 sitios web de comercio electrónico diferentes para robar los detalles de la tarjeta de pago de sus clientes.

Según un informe publicado hoy y compartido con The Hacker News, los investigadores de RiskIQ detectaron un nuevo skimmer digital, denominado " MakeFrame ", que inyecta iframes HTML en páginas web para suplantar datos de pago.

Los ataques de MakeFrame se han atribuido a Magecart Group 7 por su enfoque de utilizar los sitios comprometidos para alojar el código de descremado, cargar el skimmer en otros sitios web comprometidos y extraer los datos robados.

Los ataques de Magecart generalmente involucran a malos actores que comprometen la tienda en línea de una compañía para desviar los números de tarjeta de crédito y los detalles de la cuenta de los usuarios que realizan compras en el sitio infectado al colocar skimmers JavaScript maliciosos en los formularios de pago.

Es el último de una serie de ataques de Magecart, un término general para ocho grupos de piratería diferentes, todos los cuales se centran en robar números de tarjetas de crédito para obtener ganancias financieras.

Los piratas informáticos asociados con las tácticas de Magecart han golpeado muchos sitios web de alto perfil en los últimos años, incluidos NutriBullet , sitios web de reventa de boletos de los Juegos Olímpicos , Macy's, Ticketmaster , British Airways , el gigante de la electrónica de consumo Newegg y muchas otras plataformas de comercio electrónico .

RiskIQ había dicho que solo se necesitaron 22 líneas de infección de código JavaScript para que los atacantes obtuvieran acceso en tiempo real a los datos confidenciales en cuestión.

Usando ofuscación para evitar la detección

El nuevo código MakeFrame Skimmer, un blob de la serie de cadenas codificadas en hexadecimal y el código ofuscado, se incluye entre el código benigno para escapar de la detección, dijeron investigadores de RiskIQ.

Pero en un giro, el código es imposible de desofuscar debido a una verificación (_0x5cc230 ['removeCookie']) que asegura que no se altere. Cuando esta verificación pasa, el código del skimmer se reconstruye decodificando las cadenas ofuscadas.



Una vez que se agrega el skimmer en el sitio de la víctima, MakeFrame también tiene disposiciones para emular el método de pago, usar iframes para crear un formulario de pago, detectar los datos ingresados ​​en el formulario de pago falso al presionar el botón "enviar" y extraer la tarjeta información en forma de archivos '.php' a otro dominio comprometido (piscinasecologicas dot com).

"Este método de exfiltración es el mismo que el utilizado por Magecart Group 7, que envía datos robados como archivos .php a otros sitios comprometidos para la exfiltración", dijo RiskIQ.

"Cada sitio comprometido utilizado para exfil de datos también ha sido inyectado con un skimmer y también se ha utilizado para alojar el código de skimming cargado en otros sitios de víctimas".



Al afirmar que se han identificado tres versiones distintas de este skimmer con diferentes niveles de ofuscación, RiskIQ dijo que cada uno de los sitios web afectados es una empresa pequeña o mediana.

Prevalencia creciente de los ataques de Magecart

Aunque se detectó en la naturaleza desde 2010, este tipo de intrusión, denominado ataque Magecart debido a la preferencia inicial de los actores de la amenaza por la plataforma de comercio electrónico Magento para recopilar datos de tarjetas ilícitas, se ha intensificado en los últimos años.

"Magecart es un sindicato de cibercrimen en rápido crecimiento compuesto por docenas de subgrupos que se especializan en ataques cibernéticos que involucran el robo de tarjetas de crédito digitales", señaló anteriormente RiskIQ en su informe sobre los actores de Magecart.

Además, los actores detrás de estos compromisos han automatizado el proceso de comprometer sitios web con skimmers al escanear activamente en busca de buckets de Amazon S3 mal configurados .

La reciente ola de ataques de e-skimming se ha extendido tanto, afectando a más de 18,000 dominios , que llevó al FBI a emitir una advertencia sobre la amenaza cibernética emergente e instó a las empresas a erigir suficientes barreras de seguridad para protegerse.

La agencia de inteligencia, en un aviso publicado el mes pasado, recomendó que las compañías mantengan su software actualizado, habiliten la autenticación multifactor, segreguen la infraestructura de red crítica y estén atentos a los ataques de phishing.

"Este último skimmer del Grupo 7 es una ilustración de su evolución continua, perfeccionando técnicas probadas y verdaderas y desarrollando nuevas todo el tiempo", concluyó RiskIQ.

"No están solos en sus esfuerzos por mejorar, persistir y ampliar su alcance. Los datos de RiskIQ muestran que los ataques de Magecart han crecido un 20 por ciento en medio de la pandemia de COVID-19. Con muchas personas confinadas en sus hogares obligadas a comprar lo que necesitan en línea, la amenaza de descremado digital para el comercio electrónico es tan pronunciado como siempre ".

Vía: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta