Los mejores sitios han sido infiltrados por skimmers de tarjetas de crédito y mineros de criptomonedas
Una encuesta de los 10.000 sitios principales de Alexa revela que muchos de estos populares han sido infectados con mineros de criptomonedas y scripts de lectura de tarjetas de crédito.
Alexa es un servicio en línea que califica los sitios web y los clasifica en función de su popularidad, el tráfico obtenido y varios otros factores.
En una impactante revelación hecha por Palo Alto Networks, algunos de estos sitios importantes que reciben la mayor cantidad de tráfico de Internet han tenido una actividad maliciosa en curso derivada de criptomonedas y skimmers que roban tarjetas de crédito.
Los dominios afectados compilados por Palo Alto Networks incluyen:
| Dominio afectado | Tipo interesado | Tipo de ataque | Clasificación de Alexa (al 15 de junio de 2020) | Tipo de sitio |
| gratis[.]eso | Enlace externo malicioso | Minero de monedas malicioso | 607 | El sitio web número uno en Italia ofrece varios tipos de contenido y servicios: correo web, motor de búsqueda, noticias y más. |
| pojoksatu[.]carné de identidad | Sitio pirateado | Minero de monedas malicioso | 1494 | Un sitio de noticias en Indonesia. |
| www[.]heureka[.]cz | Enlace externo malicioso | Skimmer web | 5204 | La plataforma de comercio electrónico más grande de los mercados de Europa central y oriental. |
| zoombangla[.]con | Sitio pirateado | Minero de monedas malicioso | 6579 | Un sitio de noticias en Bangladesh. |
Mineros de criptomonedas ocultos en archivos JavaScript
Coinhive era un servicio legítimo que proporcionaba mineros de Monero basados en JavaScript capaces de ejecutarse en un navegador web.
Esto significaría que directamente desde un navegador web, el script de minería podría verificar el uso de la CPU y la cantidad de subprocesos generados para ese propósito.
Como era de esperar, debido al abuso desenfrenado por parte de personas malintencionadas, el servicio se ha cerrado.
"Hay dos sitios web que todavía sirven al minero de scripts de Coinhive. Uno es coinhive.min.js y el otro es JSEcoin,"más investigadores de Palo Alto dijeron en un Blog.
Una captura de pantalla muestra el origen de un sitio web pirateado, zoombangla.com, ejecutando el script de minero de monedas:
Fuente: Unit42 / Palo Alto Networks
Para que un usuario se vea afectado, tendría que visitar un sitio web que ya está infectado con un cripto minero. Sin embargo, el hecho notable sigue siendo que incluso los mejores sitios web de Alexa con una reputación de marca estelar pueden ser víctimas de una compensación.
Visitar un sitio web infectado con un script de este tipo aumentaría inmediatamente los niveles de uso de la CPU del usuario.
Enlaces peligrosos colocados en anuncios
Si un archivo JavaScript malicioso llega a su sitio web, puede dañar su marca, la seguridad de su sitio web y sus clientes.
Los investigadores de Palo Alto Networks observaron casos de varios anuncios en un sitio web legítimo de automóviles usados libero.it había sido manipulado para incluir enlaces que redirigían a los usuarios a otros lugares.
Fuente: Unit42 / Palo Alto Networks
"Los atacantes colocaron enlaces maliciosos en los anuncios de automóviles, que redirigieron a los visitantes interesados en el vehículo a un sitio malicioso que les inyectó el script de minería de monedas JSEcoin", explica la publicación del blog.
Si bien los scripts continuarían funcionando, los actores maliciosos ya no pueden recibir monedas extraídas después JSEcoinestará cerrado en abril.
Una captura de pantalla a continuación muestra cuántos de estos nefastos enlaces externos se colocaron en una sola página de un sitio web comprometido:
Ataques de Magecart con Webskimming
Los ataques de robo de tarjetas de crédito en línea, también conocidos como ataques Magecart, roban la información de pago del usuario ingresada en el navegador web.
Esto suele suceder cuando el atacante puede interceptar la página web que recopila la información de pago debido a un script malicioso que se ejecuta junto a la página en segundo plano.
Los investigadores notaron el sitio web de compras en línea heureka.cz que vende varios productos, a su vez, tenía enlaces en el código fuente que carga los scripts de skimming de código ofuscado.
Aunque puede parecer que los enlaces del código fuente a continuación conducen a destinos alojados en heureka.cz dominio en sí, estos en realidad redireccionan al sitio web malicioso, como se muestra a continuación:
Esto significa que los atacantes podrían cargar scripts de inyección en la página, repugnándolos detrás de las páginas de redireccionamiento alojadas en el mismo dominio comprometido.
Cuando se analiza, los investigadores revelan que el script de skimming web:
- Agregar detectores de eventos para [input, select, form, button, a, img].
- Cuando una serie de números pasa las verificaciones de validación de la tarjeta de crédito, envía la información.
- Cree la URL y los parámetros del servidor de recopilación, luego envíe la información.
"Nuestra investigación destaca que los usuarios deben tener cuidado, incluso cuando visitan sitios web populares y aparentemente confiables. Estos son los mismos sitios que probablemente generarán la mayor cantidad de ingresos para los atacantes enfocados en la minería de monedas maliciosa y el skimming web", dicen los investigadores. Palo Alto Networks.
Estos hallazgos llegan en un momento en que las compras en línea han aumentado entre los consumidores. al menos 33% dada la pandemia de COVID-19 y se espera que siga siendo un producto indispensable en el futuro cercano.
Para protegerse de ataques como estos, los usuarios deben proteger sus computadoras con soluciones antivirus actualizadas y tener cuidado con los enlaces en los que hacen clic.
Esto se puede lograr prestando atención a "la URL completa del sitio en el que terminan", explica la publicación del blog.
En la misma publicación, Palo Alto Networks también proporcionó una lista completa de indicadores de compromiso (CIO) y sugerencias de corrección.
Deja una respuesta