Los actores de delitos cibernéticos que forman parte del grupo Magecart se han aferrado a una nueva técnica para ocultar el código de malware dentro de los bloques de comentarios y codificar los datos de tarjetas de crédito robadas en imágenes y otros archivos alojados en el servidor, demostrando una vez más cómo los atacantes mejoran continuamente sus cadenas de infección. para escapar de la detección.
«Una de las tácticas que algunos actores Magecart empleo es la descarga de datos de tarjetas de crédito Birlado en archivos de imagen en el servidor [a] Evitar que se levante sospechas,» Sucuri Analista de seguridad, Ben Martin, dijo en un artículo. «Estos se pueden descargar posteriormente mediante una simple solicitud GET en una fecha posterior».
Magecart es el término general que se le da a varios grupos de ciberdelincuentes que se dirigen a sitios web de comercio electrónico con el objetivo de saquear números de tarjetas de crédito inyectando skimmers maliciosos de JavaScript y vendiéndolos en el mercado negro.
Sucuri atribuyó el ataque a Magecart Group 7 basándose en superposiciones en las tácticas, técnicas y procedimientos (TTP) adoptados por el actor de la amenaza.
En un caso de infección del sitio web de comercio electrónico de Magento investigada por la empresa de seguridad propiedad de GoDaddy, se descubrió que el skimmer se insertó en uno de los archivos PHP involucrados en el proceso de pago en forma de una cadena comprimida codificada en Base64.
Además, para enmascarar aún más la presencia de código malicioso en el archivo PHP, se dice que los adversarios utilizaron una técnica llamada concatenación en la que el código se combinó con fragmentos de comentarios adicionales que «no hacen nada funcionalmente, pero agregan una capa de ofuscación. haciéndolo algo más difícil de detectar «.
En última instancia, el objetivo de los ataques es capturar los detalles de la tarjeta de pago de los clientes en tiempo real en el sitio web comprometido, que luego se guardan en un archivo de hoja de estilo falso (.CSS) en el servidor y se descargan posteriormente al final del actor de la amenaza por haciendo una solicitud GET.
«Magecart es una amenaza cada vez mayor para los sitios web de comercio electrónico», dijo Martin. «Desde la perspectiva de los atacantes: las recompensas son demasiado grandes y las consecuencias inexistentes, ¿por qué no? Las fortunas se hacen literalmente [robando] y vendiendo tarjetas de crédito robadas en el mercado negro».