Los piratas informáticos ocultan la información de la tarjeta de crédito de los archivos comprometidos en el archivo JPG

Los piratas informáticos han ideado un método furtivo para robar datos de tarjetas de pago de tiendas en línea comprometidas que reduce la huella de tráfico sospechoso y les ayuda a evadir la detección.

En lugar de enviar la información de la tarjeta a un servidor que controlan, los piratas informáticos la ocultan en una imagen JPG y la almacenan en el sitio web infectado.

Exfiltración de datos sencilla

Los investigadores de la empresa de seguridad de sitios web Sucuri descubrieron la nueva técnica de exfiltración mientras investigaban una tienda en línea pirateada que ejecutaba la versión 2 de la plataforma de comercio electrónico de código abierto Magento.

Estos incidentes también se conocen como ataques Magecart y comenzaron hace años. Los ciberdelincuentes acceden a una tienda en línea a través de un código malicioso de una instalación de vulnerabilidad o debilidad diseñada para robar los datos de la tarjeta del cliente en el momento de pagar

Sucuri encontró un archivo PHP en el sitio web pirateado que los piratas informáticos habían modificado para cargar código malicioso adicional creando y llamando a la función getAuthenticates.

El código anterior también creó una imagen JPG en una ubicación pública de la tienda infectada que se usaría para almacenar los datos de la tarjeta de pago del cliente en forma encriptada.

Esto permitió a los atacantes descargar fácilmente la información como un archivo JPG sin activar ninguna alarma en el proceso, ya que parecería que un visitante simplemente descarga una imagen del sitio web.

Al analizar el código, los investigadores determinaron que el código malicioso utilizó el marco de Magento para adquirir información de la página de pago proporcionada a través del parámetro Customer_.

Si el cliente que proporcionó los detalles de la tarjeta estaba registrado como usuario, el código también robaba su dirección de correo electrónico, dijo Sucuri en un entrada en el blog la semana pasada.

Los investigadores dicen que casi todos los datos enviados en la página de pago están presentes en el parámetro Customer_, que incluye los detalles de la tarjeta de pago, el número de teléfono y la dirección postal.

Toda la información anterior puede ser utilizada para fraude con tarjetas de crédito directamente por piratas informáticos u otra parte que compre los datos, o para implementar campañas de phishing y spam más específicas.

Sucuri dice que este método es lo suficientemente sigiloso como para no permitir que los propietarios de sitios web busquen una infección. Sin embargo, las verificaciones de estado y los servicios de monitoreo de sitios web deberían poder detectar cambios como cambios de código o la adición de nuevos archivos.