Home Sociedad El nuevo grupo Magecart llega a cientos de centros a través de...

El nuevo grupo Magecart llega a cientos de centros a través de la cadena de suministro

Investigadores han descubierto un duodécimo grupo Magecart que utiliza métodos probados para difundir el código digital de skimming infectando la cadena de suministro.

RiskIQ, que durante varios años ha estado siguiendo la actividad de los grupos que utilizan Magecart para robar los datos de las tarjetas de clientes, afirma que el nuevo grupo ha conseguido infectar cientos de sitios web hasta ahora a través de un tercero.

Esta empresa es Adverline, una agencia de publicidad francesa. Se dice que los atacantes han comprometido una red de entrega de contenido para los anuncios administrados por la empresa para incluir un stager que contiene el código skimmer.

Esto significa que cualquier script de carga de sitios web desde la etiqueta de publicidad de la agencia de publicidad cargaría inadvertidamente el skimmer digital para los visitantes.

“El Grupo 12 construyó su infraestructura en septiembre de 2018, los dominios fueron registrados, los certificados SSL fueron configurados a través de LetsEncrypt, y se instaló el backend de skimming. El Grupo 12 no sólo inyecta el código del skimmer añadiendo una etiqueta de script, sino que los actores utilizan un pequeño fragmento con una URL codificada base64 para el recurso que se decodifica en tiempo de ejecución y se inyecta en la página”, explica Magecart en una entrada del blog.

“El código del skimmer para el Grupo 12 tiene un giro interesante; se protege a sí mismo de la desobfuscación y el análisis mediante la realización de una comprobación de integridad. El guión de la inyección viene en dos etapas, las cuales realizan un chequeo de auto-integridad.”

RiskIQ advirtió que existe la posibilidad de que miles de empresas más se vean afectadas, dado que todas ellas ejecutan la etiqueta de publicidad comprometida.

Se trata de la última de una larga serie de actividades de Magecart que pueden dividirse en dos grupos: los ataques dirigidos directamente contra los sitios web de las empresas, como los que afectan a BA y Newegg, y los dirigidos contra los proveedores.

Junto a esta última campaña, los grupos de Magecart han estado detrás de los ataques al desarrollador Inbenta Technologies, que han llevado a que a los clientes de Ticketmaster les roben los datos de sus tarjetas.

Esta misma semana, se ha puesto de manifiesto que los bancos comerciales del Reino Unido han estado enviando nuevas tarjetas a los clientes potencialmente afectados, meses después de que se notificara por primera vez el incidente.