Investigadores de ciberseguridad han descubierto que más de 80 sitios web de comercio electrónico comprometidos de Magecart enviaban activamente información de tarjetas de crédito de compradores en línea a servidores controlados por los atacantes. En un mundo que se está volviendo cada vez más digital, los ataques de Magecart se han convertido en una amenaza clave de ciberseguridad para los sitios web de comercio electrónico.

Magecart es un término general dado a diferentes grupos de delincuentes cibernéticos que se especializan en implantar secretamente skimmers de tarjetas de crédito en sitios web de comercio electrónico, con la intención de robar los detalles de la tarjeta de pago de sus clientes. Ha llevado a cabo varios atracos de alto perfil contra compañías importantes como British Airways, Ticketmaster, Newegg y otras.

Operando sus negocios en los Estados Unidos, Canadá, Europa, América Latina y Asia, muchos de estos sitios web comprometidos son marcas de renombre en la industria del automovilismo y la alta moda, revelaron hoy investigadores de Aite Group y Arxan Technologies en un informe (infografía).

Estos skimmers virtuales de tarjetas de crédito, también conocidos como ataques de formjacking, son básicamente un código JavaScript que los delincuentes informáticos insertan en secreto en un sitio web comprometido, a menudo en la página del carrito de compras, diseñado para capturar información de pago de los clientes en tiempo real y enviarlo a un atacante en un servidor controlado.

 

La campaña recientemente divulgada no pertenece a un solo grupo de delincuentes de Magecart; en cambio, los investigadores utilizarán un motor de búsqueda de código fuente para buscar JavaScript ofuscado en Internet con patrones maliciosos que fueron previamente en los skimmers de tarjetas de crédito virtuales de Magecart.

Según los investigadores, esta técnica les permitió detectar más de 80 sitios web de comercio electrónico comprometidos por grupos de Magecart, la mayoría de los cuales se encontraron ejecutando versiones desactualizadas de Magento CMS que son vulnerables a la subida de archivos sin autenticación y vulnerabilidades de ejecución remota de código.

«Muchos de los sitios comprometidos ejecutan la versión 1.5, 1.7 o 1.9. Estas versiones vulnerables de Magento permitió a los adversarios inyectar el código de formulario en el sitio».

Aunque los investigadores no nombraron a las compañías comprometidas en su informe, trabajan con las fuerzas del orden federal para notificar a todas las organizaciones afectadas, así como a los servidores externos antes de publicar su informe.

Además, los investigadores también analizan las actividades de monetización de Magecart y descubrieron que, además de vender los datos de la tarjeta de pago robada en los foros web oscuros, los atacantes también compran dispositivos en sitios legítimos de compras en línea y las envían a mulas de mercancías preseleccionadas en un intento de lavado de las transacciones fraudulentas.

«Para reclutar mulas, el atacante publica trabajos que ofrecen a las personas la capacidad de trabajar desde casa y ganar grandes sumas de dinero para recibir y reenviar mercancías compradas con los números de tarjetas de crédito robadas», dicen los investigadores.

Luego, las mulas operan con sitios locales que reciben un pago «por debajo de la mesa» para enviar mercadería a destinos de Europa del Este, donde se venden los compradores locales, lo que finalmente benefician a los atacantes como una segunda línea de ingresos.

Fuente: THN

Compartir