Sitio de moda francesa Sixth June pirateado para robar tarjetas de crédito

La tienda en línea de moda francesa Sixth June ofrece a los compradores más que lo último en ropa de calle para hombres y mujeres, ya que el sitio fue infectado hace algún tiempo con un código que roba información de la tarjeta de pago al momento del pago.

La comunidad infosec generalmente se refiere a este tipo de scripts como MageCart porque inicialmente se dirigieron a sitios que utilizan la plataforma de comercio electrónico Magento.

También se denominan e-skimmers porque recopilan datos de una tarjeta cuando se utilizan para compras en línea. Al igual que los skimmers físicos que copian datos de la tarjeta cuando se usan en un cajero automático para retirar efectivo, un e-skimmer lee y almacena la información de la página de pago y la envía al atacante.

Casi una semana de ladrones

Sixth June es bastante popular en Europa. Su cuenta de Instagram tiene más de 394,000 seguidores, mientras que cerca de 160,000 personas los siguen en Facebook.

En septiembre, el sitio tenía alrededor de 70,000 visitantes mensuales. La marca se basa en la plataforma de comercio electrónico Magento para ventas en línea y también tiene cinco tiendas físicas en diferentes ciudades de Francia.

El código que robaba la información de pago de los clientes de Sixth June todavía se estaba cargando en la página de pago al momento de escribir. El investigador de seguridad Jenkins (No tienes permitido ver enlaces. Registrate o Entra a tu cuenta) encontró el script malicioso y notificó al CEO de la compañía la semana pasada, pero nunca recibió una respuesta.



Otro investigador experimentó la misma falta de respuesta recientemente cuando intentó informar un guión de MageCart que afectaba a First Aid Beauty , un sitio web bajo el paraguas de Procter & Gamble.

En ese caso, el guión había estado robando información desde el 5 de mayo. El investigador notificó a la compañía sobre el peligro varias veces a partir del 20 de octubre, pero el guión aún estaba activo cinco días después.

Los piratas informáticos que comprometieron Sixth June agregaron el código malicioso en algún momento antes del 23 de octubre, cuando el investigador de Rapid Spike lo encontró. Es seguro asumir que a cualquier persona que compre desde el 6 de junio desde esa fecha le robaron los datos de su tarjeta.

El guión fue descubierto durante una investigación más amplia de esfuerzos cibercriminales que descubrió otros 80 que muestran una actividad maliciosa similar.

Disfrazando la actividad

Los ciberdelincuentes hicieron un esfuerzo para mantener al ladrón de tarjetas de pago sin ser detectado y registraron un dominio que puede confundirse fácilmente con el oficial de Magento.



Cuando alguien compra un artículo del 6 de junio, se carga un código JavaScript con el nombre 'apiV3.js' de la información de mogento [.] En la página de pago, así como en las páginas / onepage y / firecheckout, notó Jenkins.

"La carga útil cifrada se envía a través de un POST a mogento [.] Info / images / visa-mastercard-amex_0.png", dijo el investigador a BleepingComputer.



Para ocultar el componente malicioso, los piratas informáticos utilizaron un fragmento falso del Administrador de etiquetas de Google, una herramienta que permite a los propietarios de sitios web manejar e implementar etiquetas de marketing sin tener que cambiar el código fuente.

Las variaciones de este fragmento falso estaban presentes en todos los otros sitios comprometidos que encontró el investigador, pero los anfitriones eran diferentes.



Mucho más que solo datos de tarjeta

En la carga útil se incluyen todos los detalles necesarios para realizar una compra en línea con el nombre del propietario de la tarjeta: nombre impreso en la tarjeta, fecha de vencimiento, número de tarjeta y el número de seguridad de CVV.

Sin embargo, esto no es todo lo que este script de MageCart recopila. El análisis de Jenkins reveló que roba información de cualquier entrada en la página en la que se carga. La dirección de correo electrónico, el nombre de usuario y la contraseña, los detalles de la dirección (calle, país, código postal) y el número de teléfono también son robados.

Esto permitiría a un atacante iniciar sesión en la cuenta de una víctima y redirigir una orden, nos dijo el investigador.

La amenaza MageCart tiene proporciones globales y afecta a cientos de miles de sitios web. La compañía de ciberseguridad RiskIQ lo notó por primera vez el 8 de agosto de 2010, pero comenzó a crecer hace solo dos años cuando afectó a grandes compañías como  British Airways ,  Ticketmaster ,  OXO y  Newegg .


Vía: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta