Home Sociedad Los ladrones de tarjetas de crédito, son cada vez más sigilosos

Los ladrones de tarjetas de crédito, son cada vez más sigilosos

Según Microsoft, los programas maliciosos de robo de tarjetas utilizan cada vez más scripts PHP maliciosos en los servidores web para manipular las páginas de pago con el fin de eludir las defensas de los navegadores habilitadas por el código JavaScript.

Los investigadores de amenazas de Microsoft han observado un cambio en las tácticas utilizadas por el malware de robo de tarjetas. En la última década, el robo de tarjetas ha estado dominado por el llamado malware Magecart, que se basa en el código JavaScript para inyectar scripts en las páginas de finalización de compras y ofrecer programas maliciosos que capturan y roban los datos de las tarjetas de pago.

La inserción de JavaScript en los procesos del front-end era “muy obvia”, señala Microsoft, porque puede haber activado las protecciones del navegador -como la Política de Seguridad de Contenidos (CSP)- que impiden la carga de scripts externos. Los atacantes encontraron técnicas menos ruidosas al dirigirse a los servidores web con scripts PHP maliciosos.

En noviembre de 2021, Microsoft descubrió dos archivos de imagen maliciosos, incluido un favicon falso para el navegador, cargados en un servidor alojado en Magento, una popular plataforma de comercio electrónico.

Las imágenes contenían un script PHP incrustado, que por defecto no se ejecutaba en el servidor web afectado. En su lugar, el script PHP sólo se ejecuta después de confirmar, a través de las cookies, que el administrador de la web no está conectado en ese momento, con el fin de dirigirse sólo a los compradores.

Una vez ejecutado el script PHP, recuperó la URL de la página actual y buscó “checkout” y “one page”, dos palabras clave que corresponden a la página de finalización de compra de Magneto.

Se ha producido un aumento en el uso de PHP malicioso en el malware de robo de tarjetas. El FBI advirtió la semana pasada de nuevos casos de atacantes que utilizan PHP malicioso para infectar las páginas de finalización de compras de empresas estadounidenses con webshells para acceder de forma remota a puertas traseras en el servidor web. La empresa de seguridad Sucuri descubrió que el 41% de los nuevos programas maliciosos de robo de tarjetas de crédito que detectó en 2021 eran robos en PHP dirigidos a los servidores web.

Malwarebytes dijo a principios de este mes que Magecart Group 12 distribuyó un nuevo malware webshell que carga dinámicamente el código de ingestión de JavaScript a través de solicitudes del lado del servidor a las tiendas en línea.

Sin embargo, el JavaScript malicioso sigue siendo parte del juego de cartas. Por ejemplo, Microsoft ha identificado ejemplos de malware de robo de tarjetas basado en la suplantación de los scripts de Google Analytics y Meta Pixel (antes Facebook Pixel) con JavaScript, lo que puede hacer creer a los administradores que los scripts son benignos.