Home Sociedad Magecart ataca a los distribuidores de entradas para los Juegos Olímpicos

Magecart ataca a los distribuidores de entradas para los Juegos Olímpicos

Una facción del grupo de amenaza Magecart, el grupo Magecart 12, ha sido vinculado a un reciente ataque con una espumadera de tarjetas digitales, empeñada en robar datos de pago de una serie de sitios web, incluidos los que venden desde entradas para los Juegos Olímpicos hasta equipos de preparación de emergencia.

En las últimas semanas, el grupo se ha dirigido a dos sitios web de venta de entradas: uno llamado Olympic Tickets es un revendedor de entradas para los próximos Juegos Olímpicos de verano de 2020 y el segundo, Euro 2020 Tickets, está vendiendo entradas para la UEFA 2020, un campeonato europeo de fútbol que se celebra en junio. Los investigadores también encontraron que el mismo código de descremado del grupo (que se carga desde un dominio diferente) se utiliza para dirigirse a sitios populares de preparación para emergencias; BePrepared.com, que vende equipos y material de supervivencia, y Augason Farms, que vende suministros de alimentos de emergencia.

“Estos sitios fueron comprometidos por un skimmer que usaba el dominio OpenDoorCDN.com para la exfiltración de datos”, dijo Jordan Herman, investigador de amenazas con RiskIQ en un análisis del viernes. “La investigación de RiskIQ mostró varios otros sitios comprometidos – algunos clasificados dentro del top 200.000 de Alexa – cargando código de skimming de storefrontcdn.com”.

Los investigadores se enteraron de la infección de los sitios web de venta de entradas de los Juegos Olímpicos y de la UEFA el 17 de enero, después de encontrar el guión de la web de skimming en sus dos páginas de salida. Aunque no está claro cuánto tiempo estuvo el script malicioso en estos dos sitios web, los investigadores estiman que pueden haber sido hasta 50 días, desde que el skimmer de ambos fue indexado por primera vez el 3 de diciembre de 2019. El espumador ha sido removido desde entonces, dijeron. Estos sitios estaban cargando código de skimming del dominio opendoorcdn.com.

Mientras tanto, los sitios web tanto de BePrepared.com como de Augason Farms, que son propiedad de Blue Chip Group Manufacturing, fueron infectados por el código de descremado entre el 16 y el 19 de enero, dijeron los investigadores. El código de skimming que afecta a estos dos sitios fue cargado desde un dominio diferente, storefrontcdn.com. Estos dos sitios también han eliminado el código desde entonces. Los investigadores dijeron que no tienen indicación de cuántas personas fueron afectadas por esta ola de ataques de robo de tarjetas; sin embargo, BePrepared.com está actualmente clasificado por Alexa en 129.204 a nivel mundial y 26.238 en los EE.UU. Augasonfarms.com mientras que está clasificado 100.908 a nivel mundial y 17.793 en los EE.UU.

Basándose en el código de desnaturalización y las técnicas de ofuscación utilizadas, los investigadores pudieron vincular este ataque con el Grupo 12 de Magecart, uno de los varios que operan bajo el paraguas de Magecart. Esta organización que ha acaparado los titulares durante el último año aproximadamente por infracciones de alto perfil de empresas como VisionDirect, Ticketmaster y otras, es conocido por su uso de desnatadores de tarjetas digitales basados en la web.

Magecart utiliza secuencias de comandos inyectadas en sitios web para robar datos que se introducen en formularios de pago en línea en sitios web de comercio electrónico directamente o a través de terceros proveedores comprometidos utilizados por estos sitios.

El grupo específico en cuestión, también ha sido responsable de ataques a una empresa de publicidad con sede en París, Adverline. Esta última campaña utilizó similitudes con los anteriores ataques de skimming del Grupo 12, junto con algunas nuevas actualizaciones.

Con información de: Threat Post.