Uno de los grupos que utiliza Magecart para robar datos de tarjetas de clientes de sitios de comercio electrónico, está operando desde una zona de guerra, en el este de Ucrania, de acuerdo a lo revelado por expertos en seguridad.
El Equipo de Inteligencia sobre Amenazas de Malwarebytes, describió en un blog que la ubicación de Luhansk cerca de la frontera con Rusia es un “caldo de cultivo ideal donde los delincuentes pueden operar con total impunidad frente a las fuerzas del orden o las acciones de la comunidad de seguridad”.
Los ataques detallados por el proveedor se dirigen a los sitios de comercio electrónico de Magento y utilizan JavaScript disfrazado de dominio de Google Analytics previamente asociado a la violación de VisionDirect del año pasado.
Los investigadores encontraron nombres de usuario y contraseñas pertenecientes a cientos de sitios de comercio electrónico, indicando el alcance de la campaña, así como una puerta trasera PHP utilizada en estos ataques.
La llamada puerta de salida, servidores web configurados para recibir los datos robados, también está disfrazada de dominio de Google. Junto con los detalles de la tarjeta, los atacantes están robando nombres, direcciones, correos electrónicos y números de teléfono para su posible uso en ataques de phishing de seguimiento.
El servidor de alojamiento se encuentra en Luhansk, capital de un estado no reconocido creado en 2014 por separatistas respaldados por Rusia y conocido como la República Popular de Luhansk. En el centro de la región de Donbass, devastada por la guerra, los servicios de alojamiento a prueba de balas están a salvo del alcance de las fuerzas de seguridad, europeas y estadounidenses.