¡Magecart ataca de nuevo!

Los investigadores de seguridad cibernética han identificado otro ataque en la cadena de suministro llevado a cabo por piratas informáticos de tarjetas de pago contra más de 17,000 dominios web, que también incluyen sitios web entre los 2,000 principales de Alexa.

Ya que Magecart no es ni un solo grupo ni un malware específico, sino un término general que se otorga a todos esos grupos cibernéticos e individuos que inyectan skimmers de tarjetas digitales en sitios web comprometidos, no es necesario que cada uno de ellos utilice técnicas similares con la misma sofisticación. .

Un nuevo informe compartido con The Hacker News antes de su lanzamiento, detalla una nueva campaña de ataques a la cadena de suministro en la que los piratas informáticos utilizan el enfoque de escopeta en lugar de ataques dirigidos para infectar una amplia gama de sitios web, y prefieren un mayor alcance de infección en lugar de precisión.

Hace casi dos meses, los investigadores de seguridad de RiskIQ descubrieron ataques en la cadena de suministro que involucraban a skimmers de tarjetas de crédito colocados en varios proveedores basados ​​en la web, como AdMaxim, CloudCMS y Picreel con la intención de infectar tantos sitios web como fuera posible.

Sin embargo, tras un monitoreo continuo de sus actividades, los investigadores encontraron que la escala real de esta campaña, que comenzó a principios de abril de 2019, es mucho más grande de lo que se informó anteriormente.

Los hackers de Magecart atacan los cucharones de Amazon S3 mal configurados

Según los investigadores, desde el inicio de la campaña, este grupo de atacantes de Magecart ha estado explorando continuamente la Internet en busca de depósitos de Amazon S3 mal configurados, lo que permite que cualquiera pueda ver y editar los archivos que contiene, e inyectar su código digital de marcado de tarjetas en la parte inferior. de cada archivo JavaScript que encuentran.

«Aunque los atacantes han tenido mucho éxito al difundir su código de skimmer a miles de sitios web, sacrificaron la orientación en favor del alcance», dijeron los investigadores a The Hacker News.

Dado que los piratas informáticos no siempre tienen la idea de si los archivos javascript sobrescritos están siendo utilizados por un sitio web o un proyecto, es más como disparar una flecha en la oscuridad.

Además, parece que muchos de los archivos JavaScript infectados ni siquiera formaban parte de la página de pago, que es la ubicación principal desde donde los analizadores digitales capturan los datos de la tarjeta de pago de los usuarios y los envían a un servidor controlado por un atacante.

«Los actores utilizaron esta técnica para lanzar una red lo más amplia posible, pero muchos de los scripts comprometidos no se cargan en las páginas de pago», dicen los investigadores.

«Sin embargo, la facilidad de compromiso que surge al encontrar cubos de S3 abiertos significa que incluso si solo una fracción de sus inyecciones de skimmer devuelve datos de pago, valdrá la pena; tendrán un retorno de la inversión sustancial».

Si lee The Hacker News con regularidad, es probable que ya sepa que casi no pasa una semana sin que se sepa acerca de una compañía que dejó sus datos confidenciales expuestos en Internet, y desafortunadamente, la mayoría de ellos son los que no pudieron configurar [ 1 , 2 ] sus Amazon S3 cubos correctamente.

Skimmer de tarjetas JavaScript malintencionadamente ofuscado

 

tarjeta de crédito magecart skimming

 

Mientras tanto, en un informe separado publicado hoy por el equipo de investigación de Zscaler ThreatLabZ, los investigadores revelan detalles de una campaña de Magecart recién descubierta en la que los atacantes utilizan un enfoque sofisticado y específico para robar detalles de tarjetas de débito y crédito de sitios de comercio electrónico.

Según el informe, en lugar de hacer uso del código de skimming digital en JavaScript simple, se ha encontrado que el grupo utiliza una versión muy confusa de su skimmer de tarjetas con cargas cifradas en un intento por evitar que los investigadores identifiquen fácilmente los sitios web comprometidos.

Magecart llegó a los titulares el año pasado después de que los piratas informáticos de tarjetas de pago realizaron varios ataques de alto perfil contra importantes compañías internacionales, como British Airways , Ticketmaster y Newegg .

Por no proteger la información personal de alrededor de medio millón de sus clientes durante la violación de seguridad del año pasado, la Oficina del Comisionado de Información (ICO) de Gran Bretaña llegó ayer a British Airways con una multa récord de £ 183 millones .

Fuente: thehackernews.com

Compartir