Investigadores de NetLab de la firma china de seguridad cibernética Qihoo 360 han revelado detalles de una campaña de piratería de tarjetas de crédito en curso que actualmente está robando información de tarjetas de pago de clientes que visitan más de 105 sitios web de comercio electrónico.
Al monitorear un dominio malicioso, www.magento-análisis[.]comdurante los últimos siete meses, los investigadores descubrieron que los atacantes han estado inyectando scripts JS maliciosos alojados en este dominio en cientos de sitios web de compras en línea.
Los scripts de JavaScript en cuestión incluyen el código de robo de tarjeta de crédito digital que, cuando se ejecuta en un sitio, roba automáticamente la información de la tarjeta de pago, como el nombre del propietario de la tarjeta de crédito, el número de tarjeta de crédito, el tiempo de vencimiento, la información de CVV, ingresada por sus clientes.
En una entrevista por correo electrónico, el investigador de NetLab le dijo a The Hacker News que no tienen suficientes datos para determinar cómo los piratas informáticos infectaron los sitios web afectados en primer lugar o qué vulnerabilidades explotaron, pero confirmaron que todos los sitios de compras afectados se ejecutan en Magento e- software CMS de comercio.
Un análisis posterior reveló que el script malicioso luego envía los datos de la tarjeta de pago robada a otro archivo alojado en magento-analytics.[.]servidor com controlado por los atacantes.
«Tome como ejemplo a una víctima, www.kings2.com, cuando un usuario carga su página de inicio, el JS también se ejecuta. Si un usuario selecciona un producto y va a ‘Información de pago’ para enviar la información de la tarjeta de crédito, después de la Se ingresan los datos CVV, se cargará la información de la tarjeta de crédito”, explican los investigadores en una publicación de blog publicada hoy.
La técnica utilizada por el grupo detrás de esta campaña no es nueva y es exactamente la misma que utilizaron los infames grupos de piratería de tarjetas de crédito MageCart en cientos de sus ataques recientes, incluidos Ticketmaster, British Airways y Newegg.
Sin embargo, los investigadores de NetLab no han vinculado explícitamente este ataque a ninguno de los grupos de MageCart.
Además, no se confunda con el nombre de dominio: www.magento-analytics[.]com.
Tener Magento en el nombre de dominio no significa que el dominio malicioso esté asociado con la popular plataforma CMS de comercio electrónico Magento; en cambio, los atacantes utilizaron esta palabra clave para disfrazar sus actividades y confundir a los usuarios habituales.
Según los investigadores, el dominio malicioso utilizado en la campaña está registrado en Panamá, sin embargo, en los últimos meses, la dirección IP se movió de «Estados Unidos, Arizona» a «Rusia, Moscú», luego a «China, Hong Kong». «
Si bien los investigadores descubrieron que el dominio malicioso ha estado robando información de tarjetas de crédito durante al menos cinco meses con un total de 105 sitios web ya infectados con el JS malicioso, creen que este número podría ser mayor de lo que aparecía en su radar.
Justo ayer, un usuario publicó en un foro que su sitio web de Magento también fue pirateado recientemente y los atacantes inyectaron en secreto un script de robo de tarjetas de crédito del mismo dominio, aparentemente una variante separada que aún no se ha incluido en el sitio web de 360 NetLab.
Dado que los atacantes suelen explotar vulnerabilidades conocidas en el software de comercio electrónico en línea para inyectar sus scripts maliciosos, se recomienda encarecidamente a los administradores de sitios web que sigan las mejores prácticas de seguridad, como aplicar las últimas actualizaciones y parches, limitar los privilegios para los sistemas críticos y fortalecer los servidores web.
También se recomienda a los administradores de sitios web que aprovechen la Política de seguridad de contenido (CSP) que les permite tomar un control estricto sobre exactamente qué recursos pueden cargarse en su sitio.
Mientras tanto, también se recomienda a los compradores en línea que revisen regularmente sus extractos bancarios y de tarjetas de crédito para detectar cualquier actividad desconocida. No importa cuán pequeña sea la transacción no autorizada que observe, siempre debe informarla inmediatamente a su banco.
