Home Sociedad Ciberdelincuentes usan Google Analytics para robar tarjetas de crédito y evitar el...

Ciberdelincuentes usan Google Analytics para robar tarjetas de crédito y evitar el CSP

Un nuevo método para eludir la Política de Seguridad de Contenidos (CSP) utilizando el API de Google Analytics, lanzado durante la última semana, ya ha sido desplegado en los continuos ataques de Magecart diseñados para extraer datos de tarjetas de crédito de varias docenas de sitios de comercio electrónico.

Sí. Los piratas informáticos están usando los servidores de Google y la plataforma de Google Analytics para robar la información de las tarjetas de crédito enviadas por los clientes de las tiendas online.

Esta nueva modalidad, aprovecha el hecho de que los sitios de comercio electrónico que utilizan el servicio de análisis web de Google para rastrear a los visitantes se encuentran en la lista de dominios de Google Analytics en su configuración de CSP (un estándar de seguridad utilizado para bloquear el código no fiable que se ejecuta en las aplicaciones web).

El 17 de junio, PerimeterX encontró y demostró “una vulnerabilidad fácil de reproducir en la funcionalidad básica del CSP, utilizándolo para bloquear el robo de credenciales, PII y datos de pago como las tarjetas de crédito”.

En lugar de bloquear los ataques basados en inyecciones, permite que las secuencias de comandos de Google Analytics beneficien a los atacantes porque pueden usarlas para robar datos.

Los piratas informáticos sólo tienen que utilizar su propio propietario del formulario UA-####### de identificación de etiqueta ya que “la política de los CSP no puede discriminar en función de la identificación de la etiqueta”, por lo que sus scripts pueden abusar de GA presentando información recopilada como credenciales, datos de tarjetas de crédito y más.

Reconocer y bloquear los scripts diseñados para abusar de este defecto “requiere soluciones de visibilidad avanzadas que puedan detectar el acceso y la exfiltración de los datos confidenciales del usuario (en este caso, la dirección de correo electrónico y la contraseña del usuario)”.

De los 3 millones de dominios de Internet, sólo 210.000 están usando el CSP, según las estadísticas de PerimeterX, basadas en un escaneo de HTTPArchive de marzo de 2020. 17.000 sitios accesibles a través de estos dominios están en la lista blanca de google-analytics.com.

Mientras que Shaked utilizó GA como ejemplo de intrusos que utilizan los hosts en la lista de permisos de CSP, ya que es el servicio de terceros en la lista de permisos de CSP más comúnmente configurado, cualquier otro dominio en la lista de permisos que esté comprometido o que proporcione una gestión basada en cuentas, así como GA puede ser utilizado como un canal de exfiltración.

El equipo de investigación de amenazas de Sansec informó que había estado siguiendo una campaña de Magecart desde el 17 de marzo, con los atacantes abusando de ese mismo problema para desviar el CSP en varias docenas de sitios de comercio electrónico usando Google Analytics.

Los actores de la amenaza detrás de esta campaña fueron más allá, asegurándose de que todos los componentes de la campaña utilizaran los servidores de Google, ya que entregaron el desnatador de tarjetas de crédito a los sitios web de sus objetivos a través de la plataforma de almacenamiento abierto de Google firebasestorage.googleapis.com.

Con información de: Bleeping Computer.