El análisis en profundidad de JS Sniffers descubre nuevas familias de códigos de robo de tarjetas de crédito

js sniffers piratería de tarjetas de crédito

En un mundo cada vez más digital, los ataques de Magecart se han convertido en una amenaza clave de ciberseguridad para los sitios de comercio electrónico.

Magecart, que aparece mucho en las noticias últimamente, es un término general que se aplica a 12 grupos ciberdelincuentes diferentes que se especializan en implantar en secreto un código especial en sitios de comercio electrónico comprometidos con la intención de robar los datos de las tarjetas de pago de sus clientes. .

El código malicioso, conocido como JS sniffers, JavaScript sniffers o skimmers de tarjetas de crédito en línea, ha sido diseñado para interceptar la entrada de los usuarios en sitios web comprometidos para robar los números de tarjetas bancarias, nombres, direcciones, detalles de inicio de sesión y contraseñas de los clientes en tiempo real. .

Magecart llegó a los titulares el año pasado después de que los ciberdelincuentes realizaran varios atracos de alto perfil que involucraron a compañías importantes, incluidas British Airways, Ticketmaster y Newegg, y los minoristas de ropa de cama en línea MyPillow y Amerisleep fueron víctimas recientes de estos ataques.

El éxito inicial de estos ataques ya indicó que es probable que veamos muchos más en los próximos días.

La firma de seguridad Group-IB publicó hoy un informe, que compartió con The Hacker News antes de su lanzamiento, que detalla casi 38 familias JS-Sniffer diferentes que sus investigadores documentaron después de analizar 2440 sitios web de comercio electrónico infectados.

Todas estas familias de JS-Sniffer se han clasificado en dos partes. El primero es el código universal que se puede integrar en cualquier sitio web, por ejemplo, las familias G-Analytics y WebRank de JS-sniffers.

olfateadores de magecart js

Mientras que el segundo tipo de JS-Sniffers, que incluye las familias PreMage, MagentoName, FakeCDN, Qoogle, GetBilling y PostEval, se diseñó principalmente para trabajar con sistemas de administración de contenido específicos como Magento, WooCommerce, WordPress, Shopify y OpenCart.

«Al menos 8 de estas familias [such as GMO, TokenLogin, and TokenMSN] se describen por primera vez y no han sido investigados antes «, dicen los investigadores.

«Cada familia tiene características únicas, y lo más probable es que sean administradas por diferentes personas: todos los JS-sniffers realizan funciones similares y la creación de dos JS-sniffers por un ciberdelincuente sería inconveniente».

El informe también destaca una tendencia creciente en los foros clandestinos de alquilar JS-Sniffers como un servicio a los ciberdelincuentes que no tienen la experiencia técnica para hacerlo por su cuenta, lo que lo convierte en una excelente alternativa para generar dinero al ransomware y la minería de criptomonedas. programa malicioso

«Las estimaciones aproximadas sugieren que las ganancias obtenidas por los desarrolladores de JS-sniffer pueden ascender a cientos de miles de dólares por mes», dice Group-IB.

El informe de Group-IB también revela que más de la mitad de los sitios web afectados fueron atacados por el Nombre de Magento Familia JS-sniffer. Los atacantes detrás de este skimmer de tarjetas explotaron vulnerabilidades conocidas en sitios que ejecutan Magento CMS obsoleto para inyectar código malicioso.

«Más del 13% de las infecciones son realizadas por la familia de sniffers JS de WebRank, que ataca sitios de terceros para inyectar su código malicioso en los sitios web objetivo», dicen los investigadores.

Los JS-sniffers de la familia CoffeMokko llevaron a cabo casi el 11 % de las infecciones para robar información de los sistemas de pago, incluidos PayPal, Verisign, eWAY, Sage Pay, WorldPay, Stripe, USAePay y otros.

Puede acceder al informe completo del Grupo-IB visitando este enlace.

A principios de este año, los atacantes de Magecart también comprometieron con éxito 277 sitios de comercio electrónico en un ataque a la cadena de suministro al insertar su código de desnatado en una popular biblioteca de JavaScript de terceros de Adverline.

Ese ataque cibernético ampliamente difundido finalmente apuntó a todos los clientes que realizaron pagos en línea en cientos de sitios web de comercio electrónico europeos que estaban sirviendo un script Adverline modificado.

Dado que los atacantes generalmente aprovechan los problemas de seguridad conocidos en el CMS de comercio electrónico en línea, se recomienda encarecidamente a los administradores de sitios web que sigan las mejores prácticas estándar, como aplicar las últimas actualizaciones y parches de seguridad, limitar los privilegios para los recursos críticos del sistema y fortalecer sus servidores web.

También se recomienda a los compradores en línea que revisen regularmente los detalles de su tarjeta de pago y los extractos bancarios para detectar cualquier actividad desconocida. No importa cuán pequeña sea la transacción no autorizada que observe, siempre debe informarla a sus instituciones financieras de inmediato.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática