Un script malicioso roba información de la tarjeta de crédito robada por otros piratas informáticos

Un actor de amenazas infectó una tienda de comercio electrónico con un skimmer de tarjetas de crédito personalizado diseñado para robar datos robados por un ladrón de tarjetas Magento implementado previamente.

Los skimmers de tarjetas de crédito (también conocidos como skimmers de tarjetas de pago o scripts de Magecart) son scripts de JavaScript que los grupos de ciberdelincuencia conocidos como grupos Magecart inyectan en sitios de comercio electrónico comprometidos como parte de los ataques de skimming web (también conocidos como e-skimming).

Su objetivo final es robar el pago y la información personal enviada por los clientes de la tienda pirateada y recopilarla en servidores remotos bajo su control.

Robar a los ladrones

Los investigadores de seguridad de Malwarebytes descubrieron el skimmer a cuestas mientras estudiaban una ola masiva de tiendas en línea pirateadas que se quedaban sin instalaciones de soporte de Magento 1.

Si bien no es extraño detectar varios scripts de skimmer de tarjetas en la misma tienda en línea, este se destacó por su naturaleza altamente especializada.

"Los escritores de amenazas han ideado una versión de su script que tiene en cuenta los sitios ya inyectados con un skimmer Magento 1", dijo Jérôme Segura, director de inteligencia de amenazas de Malwarebytes. explica en un informe compartido de antemano con Bleeping Computer.

"Ese segundo skimmer simplemente recopilará los detalles de la tarjeta de crédito del formulario falso existente inyectado por los atacantes anteriores".

Y los esfuerzos de los actores de amenazas por tener en sus manos la información financiera de los clientes de la tienda en línea no se detuvieron allí: también implementaron una segunda versión de su skimmer diseñada para inyectar campos de formularios de pago que imitan de cerca al procesador de pagos. la tienda.

Costway, el minorista afectado por este ataque, usó el software Magento 1 en sus tiendas en línea en Francia, el Reino Unido, Alemania y España, que se vieron comprometidas alrededor de la misma fecha en que fueron detectadas por los rastreadores de Malwarebytes.

El skimmer desplegado por el primer actor de amenazas que violó los sitios de Costway inyectó sus propios campos de formulario de recopilación de datos en las páginas de pago de los sitios.

El segundo actor de la amenaza cargó los skimmers de tarjetas personalizados de securityxx[.]arriba, el que recopila directamente datos del skimmer ya presente y el segundo que se activa si la tienda se limpia del código malicioso inyectado durante el hack de Magento 1.

Como señala Sophos, los dos actores de amenazas instalaron tres skimmers de tarjetas de crédito separados después de comprometer las tiendas de Costway:

1. Magento 1 hack skimmer inyectado directamente en la página de pago
2. Skimmer personalizado (securityxx[.]top / security.js) que roba 1 skimmer de Magento
3. Skimmer personalizado (securityxx[.]top / costway.js) que altera el iframe de pago legítimo

"Una gran cantidad de sitios de Magento 1 han sido pirateados pero no necesariamente monetizados", agregó Segura.

"Otros actores de amenazas que quieran acceder sin duda intentarán inyectar su propio código malicioso.

"Cuando eso sucede, vemos a los delincuentes tratando de acceder a los mismos recursos y, a veces, peleando entre sí".

Malwarebytes notificó a Costway que sus tiendas habían sido comprometidas e infectadas por skimmers de tarjetas de crédito, pero su costo[.]El sitio web fr todavía está comprometido.

Alertas de ataque de Magecart

En septiembre de 2020, una campaña de piratería automatizada dirigida a los sitios de Magento comprometió con éxito alrededor de 2.000 tiendas en línea para robar tarjetas de crédito.

La gran mayoría de ellos ejecutan el software Magento 1, que ha estado fuera de soporte desde junio de 2020 cuando alcanzó el final del soporte.

Tales ataques se convirtieron en un problema lo suficientemente grande como para que VISA emitiera una advertencia instando a los comerciantes a migrar los sitios de comercio electrónico al software más seguro Magento 2.x.

La Oficina Federal de Investigaciones (FBI) de EE. UU. También emitió una advertencia en octubre de 2019 sobre las amenazas de e-skimming dirigidas tanto a agencias gubernamentales como a pymes (pequeñas y medianas empresas) que procesan pagos en línea.

El FBI aconseja a los propietarios de sitios que hagan esto mantener el software actualizado como una de las principales medidas de mitigación contra los ataques de Magecart.