Los delincuentes están constantemente ideando nuevos trucos para engañar a los compradores en línea y robar sus datos de tarjetas de crédito, así como información personal. Recientemente, investigadores de Malwarebytes observaron una nueva campaña, en la cual los atacantes crearon y usaron un sitio web falso para alojar y cargar un skimmer web JavaScript disfrazado de favicon en portales de comercio electrónico comprometidos.

El ataque es a lo que los investigadores de seguridad se refieren como un ataque a la web, e-skimming o un ataque Magecart. Según Malwarebytes, el actor malicioso registró un nuevo sitio web que pretende ofrecer miles de imágenes e íconos para descargar, pero que en realidad sirvió como un frente para una operación de robo de tarjetas de crédito.

La campaña salió a la luz cuando los investigadores notaron que varios sitios de comercio electrónico estaban cargando un favicon de Magento desde un dominio llamado myicons[.]net que alberga varios íconos y, en particular, favicons, archivos de imagen que se muestran en la pestaña del navegador que se usa a menudo para la marca o identificando un sitio web.

Investigaciones posteriores han demostrado que el sitio se registró solo unos días antes y se alojó en un servidor (83.166.244 [.]76) previamente vinculado a otra campaña de skimming web. Además, el contenido myicons[.]net alojado fue robado de un sitio legítimo alojado en iconarchive[.]com.

Los expertos analizaron el archivo favicon.png y descubrieron que al visitar la página de pago de un sitio web de Magento comprometido, la imagen PNG favicon aparentemente benigna se reemplazaba automáticamente con un código JavaScript malicioso diseñado para robar información de la tarjeta de crédito y enviarla a los servidores de los atacantes.

«En lugar de mostrar una imagen PNG, el servidor malicioso devuelve un código JavaScript que consiste en un formulario de pago con tarjeta de crédito. Este contenido se carga dinámicamente en el DOM para anular la opción de pago de PayPal con su propio menú desplegable para MasterCard, Visa, Discover y American Express», explicaron los investigadores. «Además del código JavaScript, contiene HTML que se inyectará en la página de pago de las tiendas comprometidas. La idea es mezclarse para que los compradores no noten nada sospechoso».

El skimmer de tarjetas de crédito también se estaba utilizando para recopilar información personal de los clientes de sitios de comercio electrónico comprometidos, incluidos nombres, direcciones, números de teléfono y correos electrónicos.

Fuente y redacción: Cybersecurity

Compartir