Una nueva campaña de robo de tarjetas de crédito Magecart secuestra sitios legítimos para que actúen como servidores “improvisados” de mando y control (C2) para inyectar y ocultar los skimmers en los sitios de comercio electrónico objetivo.
Un ataque Magecart se produce cuando los atacantes acceden a las tiendas online para inyectar scripts maliciosos que roban las tarjetas de crédito y la información personal de los clientes durante el proceso de pago.
Según los investigadores de Akamai que supervisan esta campaña, ha afectado a organizaciones de Estados Unidos, Reino Unido, Australia, Brasil, Perú y Estonia.
La empresa de ciberseguridad también señala que muchas de las víctimas no se han dado cuenta de que han sido atacadas durante más de un mes, lo que demuestra el sigilo de estos ataques.
El primer paso de los atacantes es identificar sitios legítimos vulnerables y piratearlos para alojar su código malicioso, utilizándolos como servidores C2 para sus ataques.
Al distribuir los skimmers de tarjetas de crédito utilizando sitios web legítimos con buena reputación, los actores de la amenaza evaden la detección y los bloqueos y se liberan de la necesidad de crear su propia infraestructura.
A continuación, los atacantes inyectan un pequeño fragmento de JavaScript en los sitios de comercio objetivo que obtiene el código malicioso de los sitios web comprometidos anteriormente.
Para añadir sigilo al ataque, los actores de la amenaza han ofuscado el skimmer con codificación Base64, que también oculta la URL del host, y han construido su estructura de forma que se asemeje a la de Google Tag Manager o Facebook Pixel, que son servicios de terceros populares que probablemente no levanten sospechas.
Akamai informa haber visto dos variantes del skimmer utilizado en esta campaña en particular.
La primera es una versión muy ofuscada que contiene una lista de selectores CSS dirigidos a la información personal del cliente y a los detalles de la tarjeta de crédito. Los selectores CSS eran diferentes para cada sitio objetivo, hechos a medida para cada víctima.
La segunda variante del skimmer no estaba tan bien protegida, lo que dejó al descubierto indicadores en el código que ayudaron a Akamai a trazar el alcance de la campaña e identificar a más víctimas.
Después de que los skimmers roban los detalles de los clientes, los datos se envían al servidor del atacante a través de una solicitud HTTP creada como una etiqueta IMG dentro del skimmer.
Los propietarios de sitios web pueden defenderse contra las infecciones de Magecart protegiendo adecuadamente las cuentas de administrador del sitio web y aplicando actualizaciones de seguridad para su CMS y plugins.
Los clientes de las tiendas online pueden minimizar el riesgo de exposición de los datos utilizando métodos de pago electrónicos, tarjetas virtuales o estableciendo límites de cargo a sus tarjetas de crédito.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian