Hacker modifican las páginas 404 de las tiendas online

Iniciado por AXCESS, Octubre 10, 2023, 11:31:31 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Octubre 10, 2023, 11:31:31 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una nueva campaña de robo de tarjetas Magecart secuestra las páginas de error 404 de los sitios web de minoristas en línea, ocultando códigos maliciosos para robar la información de las tarjetas de crédito de los clientes.

Esta técnica es una de las tres variantes observadas por los investigadores del Akamai Security Intelligence Group, y las otras dos ocultan el código en el atributo 'onerror' de la etiqueta de imagen HTML y una imagen binaria para que aparezca como el fragmento de código de Meta Pixel.

Akamai dice que la campaña se centra en los sitios Magento y WooCommerce, y que algunas víctimas están vinculadas a organizaciones de renombre en los sectores alimentario y minorista.

Manipular 404 páginas

Todos los sitios web cuentan con páginas de error 404 que se muestran a los visitantes cuando acceden a una página web que no existe, se ha movido o tiene un enlace inactivo o roto.

Los actores de Magecart aprovechan la página predeterminada '404 No encontrado' para ocultar y cargar el código malicioso de robo de tarjetas, que no se había visto antes en campañas anteriores.

"Esta técnica de ocultación es muy innovadora y es algo que no hemos visto en campañas anteriores de Magecart", se lee en el informe de Akamai.

"La idea de manipular la página de error 404 predeterminada de un sitio web específico puede ofrecer a los actores de Magecart varias opciones creativas para mejorar el ocultamiento y la evasión".

El cargador skimmer se disfraza como un fragmento de código Meta Pixel o se esconde dentro de scripts en línea aleatorios ya presentes en la página web de pago comprometida.

El cargador inicia una solicitud de recuperación de una ruta relativa denominada "iconos", pero como esta ruta no existe en el sitio web, la solicitud genera un error "404 No encontrado".

Los investigadores de Akamai inicialmente asumieron que el skimmer ya no estaba activo o que el grupo Magecart había cometido un error de configuración. Sin embargo, tras una inspección más cercana, descubrieron que el cargador contenía una coincidencia de expresión regular que buscaba una cadena específica en el HTML devuelto de la página 404.

Al localizar la cadena en la página, Akamai encontró una cadena concatenada codificada en base64 oculta en un comentario. La decodificación de esa cadena reveló el skimmer de JavaScript, que se esconde en las 404 páginas.

La cadena que el cargador busca en el HTML (Akamai)
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

"Simulamos solicitudes adicionales a rutas inexistentes y todas devolvieron la misma página de error 404 que contenía el comentario con el código malicioso codificado", explica Akamai.

"Estas comprobaciones confirman que el atacante alteró con éxito la página de error predeterminada de todo el sitio web y ocultó el código malicioso en ella".

Debido a que la solicitud se realiza a una ruta propia, la mayoría de las herramientas de seguridad que monitorean solicitudes de red sospechosas en la página de pago la pasarían por alto.

Robando los datos

El código skimmer muestra un formulario falso que se espera que los visitantes del sitio web completen con detalles confidenciales, incluido su número de tarjeta de crédito, fecha de vencimiento y código de seguridad.

Formulario de pago falso (Akamai)
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una vez que se ingresan estos datos en el formulario falso, la víctima recibe un error falso de "tiempo de espera de sesión".

En segundo plano, toda la información está codificada en base64 y se envía al atacante a través de una URL de solicitud de imagen que lleva la cadena como parámetro de consulta.

La solicitud de exfiltración de datos (Akamai)
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Este enfoque ayuda a evadir la detección por parte de las herramientas de monitoreo del tráfico de red, ya que la solicitud parece un evento de recuperación de imágenes benigno. Sin embargo, decodificar la cadena base64 revela información personal y de tarjeta de crédito.

El caso de la manipulación de páginas 404 pone de relieve la evolución de las tácticas y la versatilidad de los actores de Magecart, que continuamente dificultan que los webmasters ubiquen su código malicioso en sitios web comprometidos y los desinfecten.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario