Los piratas informáticos de Magecart ocultan datos de tarjetas de crédito robadas en imágenes para la filtración evasiva

truco de carro mágico

Los actores del cibercrimen que forman parte del grupo Magecart se han aferrado a una nueva técnica para ofuscar el código de malware dentro de bloques de comentarios y codificar datos de tarjetas de crédito robadas en imágenes y otros archivos alojados en el servidor, demostrando una vez más cómo los atacantes mejoran continuamente sus cadenas de infección. para escapar de la detección.

«Una táctica que emplean algunos actores de Magecart es volcar los detalles de la tarjeta de crédito deslizada en archivos de imagen en el servidor [to] evite levantar sospechas «, dijo el analista de seguridad de Sucuri, Ben Martin, en un artículo. Estos se pueden descargar más tarde mediante una simple solicitud GET en una fecha posterior».

Magecart es el término genérico que se le da a varios grupos de ciberdelincuentes que se dirigen a sitios web de comercio electrónico con el objetivo de saquear números de tarjetas de crédito inyectando skimmers de JavaScript maliciosos y vendiéndolos en el mercado negro.

Sucuri atribuyó el ataque a Magecart Group 7 basándose en superposiciones en las tácticas, técnicas y procedimientos (TTP) adoptados por el actor de amenazas.

truco de carro mágico

En un caso de una infección del sitio web de comercio electrónico de Magento investigada por la empresa de seguridad propiedad de GoDaddy, se descubrió que el skimmer se insertó en uno de los archivos PHP involucrados en el proceso de pago en forma de una cadena comprimida codificada en Base64.

Además, para enmascarar aún más la presencia de código malicioso en el archivo PHP, se dice que los adversarios utilizaron una técnica llamada concatenación en la que el código se combinó con fragmentos de comentarios adicionales que «funcionalmente no hacen nada, pero agregan una capa de ofuscación haciéndolo algo más difícil de detectar».

En última instancia, el objetivo de los ataques es capturar los detalles de la tarjeta de pago de los clientes en tiempo real en el sitio web comprometido, que luego se guardan en un archivo de hoja de estilo falso (.CSS) en el servidor y se descargan al final del actor de amenazas haciendo una solicitud GET.

«Magecart es una amenaza cada vez mayor para los sitios web de comercio electrónico», dijo Martin. «Desde la perspectiva de los atacantes: las recompensas son demasiado grandes y las consecuencias inexistentes, ¿por qué no habrían de hacerlo? Se hacen fortunas literales [by] robar y vender tarjetas de crédito robadas en el mercado negro”.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática