Según un informe de Trend Micro Security Intelligence, hay una nueva campaña de skimming de Magecart dirigida a las personas que intentan reservar habitaciones de hotel a través de sitios web móviles. Los investigadores de la compañía japonesa, han descubierto que dos sitios web de hoteles pertenecientes a dos cadenas diferentes han sido infectados con código JavaScript que carga un script remoto en su página web de pago.
El hallazgo se hizo en septiembre, mientras que se descubrió que el script malicioso había sido inyectado el 9 de agosto de 2019. El enlace del script descarga otro script cuando se utilizan dispositivos Android o iOS, cargando eventualmente un skimmer de tarjeta de crédito que roba la información de pago del cliente.
Ambos hoteles han hecho construir sus páginas web por una empresa llamada “Roomleader”, y fue uno de los módulos de esta empresa que se vio comprometido por los actores de Magecart. Esto significa que la campaña se basa en un fallo de la cadena de producción y que debe haber muchas más cadenas hoteleras afectadas, además de las dos descubiertas por Trend Micro. Aunque el problema se limitara a las dos cadenas, seguiría siendo muy amplio, ya que la primera cuenta con 107 hoteles en 14 países y la otra con 73 hoteles en 14 países.
El script comprueba que se ejecuta en la página web de reservas del hotel, y si lo está, comprueba que el depurador del navegador está cerrado. Si este prerrequisito también se cumple, carga otro JavaScript desde una URL especificada y así se carga el skimmer. La URL que contiene el skimmer emula un dominio de Google Tag Manager para evitar levantar sospechas y ser detectado. El skimmer no sólo captura lo que el cliente introduce en el formulario, sino que sustituye por completo el formulario original de la tarjeta de crédito. Esto se hace porque los hoteles pueden pedirte que pagues en el escritorio cuando llegues allí, o pueden no pedirte el número de CVC que necesitan los actores. Por último, los skimmers no funcionan en los casos en los que se utilizan elementos HTML iframe, por lo que la exfiltración no sería posible si el hotel los desplegara.
Los actores incluso se han tomado la molestia de traducir su formulario falso a ocho idiomas, comprobar lo que la víctima está utilizando en su sistema e inyectar la versión correspondiente del formulario. Esto aumenta aún más la legitimidad del formulario falso y ayuda a engañar a los clientes. Desafortunadamente, Trend Micro no ha revelado cuáles son las dos cadenas hoteleras comprometidas, por lo que las personas que han hecho su reserva a través de sus sitios web móviles desde el 9 de agosto no pueden determinar si se les han robado o no los datos de su tarjeta de crédito.
Con información de: ZDnet.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian