Los piratas informáticos están secuestrando tiendas en línea para mostrar formularios de pago falsos modernos y de aspecto realista para robar tarjetas de crédito de clientes desprevenidos.
Estos formularios de pago se muestran como un contenido HTML modal superpuesto en la parte superior de la página web principal, lo que permite al usuario interactuar con formularios de inicio de sesión o contenido de notificación sin salir de la página.
Cuando los modales están activos, el contenido de fondo a veces se atenúa o se difumina para llamar la atención sobre el contenido modal.
En un nuevo informe de Malwarebytes , los skimmers de MageCart ahora están secuestrando páginas de pago de tiendas en línea legítimas para mostrar sus propios formularios de pago falsos como modos para robar las tarjetas de crédito de los clientes.
Estos modales se destacan porque a veces lucen incluso mejor que el original, al no tener signos visuales que puedan hacer sospechar que no son reales.
Mejor que la cosa real
Un caso destacado en el informe de Malwarebytes se refiere a una tienda de accesorios de viaje parisina con sede en PrestaShop comprometida por la nueva campaña de Kritec.
Kritec es un skimmer de tarjetas de crédito de JavaScript que Malwarebytes detectó por primera vez en las tiendas de Magento en marzo de 2022 , por lo que es probable que el mismo actor de amenazas esté detrás de él.
Malwarebytes informa que el skimmer que infectó la página es bastante complejo y su código está muy ofuscado con codificación base64.
Al llegar a la página de pago del sitio infectado, en lugar de mostrar el formulario de pago del sitio, el script malicioso muestra un modal que presenta el logotipo de la marca, el idioma correcto (francés) y elementos elegantes de la interfaz.
Sin embargo, este formulario de pago falso está diseñado para robar la información de la tarjeta de crédito de los clientes y enviársela a los piratas informáticos.
Una vez que los compradores ingresan sus detalles en el modal, muestra un cargador falso momentáneamente y luego muestra un error falso, redirigiendo al usuario a la URL de pago real.
Sin embargo, en el fondo, los actores de amenazas ya han robado todos los detalles ingresados, incluido el número de tarjeta de crédito, la fecha de vencimiento, el número CVV y el nombre del titular de la tarjeta.
Además, el skimmer coloca una cookie en los usuarios que han sido atacados con éxito para evitar que se vuelva a cargar el modal malicioso en el mismo sitio o en otro. Esto es para evitar recopilar datos duplicados y minimizar la exposición de la operación.
Los analistas de Malwarebytes bloquearon el script del skimmer de tarjetas de crédito para permitir que se cargara el formulario de pago original, y la comparación entre los dos deja al auténtico estéticamente derrotado.
La página de pago real redirige a los visitantes a un procesador de terceros y, después de ingresar la información bancaria, el cliente regresa a la página de la tienda.
Si bien una redirección a un sitio externo es un paso típico en los pagos en línea, inspira menos confianza en el visitante que el formulario modal representado directamente en la página.
Desafortunadamente, Malwarebytes observó evidencia de que la tendencia de usar formularios modales está ganando terreno en la comunidad de delitos cibernéticos de Magecart.
«Es posible que múltiples actores de amenazas estén involucrados en esas campañas y personalicen los skimmers en consecuencia».
«Si bien muchas tiendas pirateadas tenían un skimmer genérico, parece que los modales personalizados se desarrollaron recientemente, tal vez hace uno o dos meses».
Los compradores en línea deben estar muy atentos y prefieren los métodos de pago electrónicos o las tarjetas privadas únicas con límites de cargo que son inútiles en manos de los ciberdelincuentes.
Fuente y redacción: bleepingcomputer.com
