Investigadores de NetLab de la firma de ciberseguridad china Qihoo 360 revelaron detalles de una campaña de piratería de tarjetas de crédito que actualmente está robando información de tarjetas de pago de clientes que visitan más de 105 sitios web de comercio electrónico.
Mientras monitoreaban un dominio malicioso, www.magento-analytics [.] Com, durante los últimos siete meses, los investigadores descubrieron que los atacantes han estado inyectando scripts JS maliciosos alojados en este dominio en cientos de sitios web de compras en línea.
Los scripts de JavaScript en cuestión incluyen el código digital de la tarjeta de crédito que, al ejecutarse en un sitio, roba automáticamente la información de la tarjeta de pago, como el nombre del propietario de la tarjeta de crédito, el número de la tarjeta de crédito, el tiempo de caducidad y la información de CVV introducida por sus clientes.
En una entrevista por correo electrónico, el investigador de NetLab dijo a The Hacker News que no tenían suficientes datos para determinar cómo los hackers infectaron los sitios web afectados en primer lugar o qué vulnerabilidades explotaron, pero confirmó que todos los sitios de compras afectados se están ejecutando en Magento e- software de comercio CMS.
Un análisis posterior reveló que el script malicioso luego envía datos de tarjetas de pago robados a otro archivo alojado en el servidor magento-analytics [.] Controlado por los atacantes.
"Tome una víctima como ejemplo, www.kings2.com, cuando un usuario carga su página de inicio, JS también se ejecuta. Si un usuario selecciona un producto y va a la 'Información de pago' para enviar la información de la tarjeta de crédito, después del Los datos de CVV se ingresan, la información de la tarjeta de crédito se cargará ", explican los investigadores en una publicación de blog publicada hoy.
La técnica utilizada por el grupo detrás de esta campaña no es nueva y exactamente igual a la que usaron los infames grupos de piratería de tarjetas de crédito MageCart en cientos de sus ataques recientes, incluidos Ticketmaster, British Airways y Newegg.
Según los investigadores, el dominio malicioso utilizado en la campaña está registrado en Panamá, sin embargo, en los últimos meses, la dirección IP se trasladó de "Estados Unidos, Arizona" a "Rusia, Moscú", luego a "China, Hong Kong". "
Si bien los investigadores descubrieron que el dominio malicioso ha estado robando información de tarjetas de crédito durante al menos cinco meses con un total de 105 sitios web ya infectados con el JS malicioso, creen que este número podría ser mayor que lo que aparecía en su radar.
Ayer mismo, un usuario publicó en un foro que su sitio web de Magento también fue pirateado recientemente y los atacantes inyectaron secretamente un script de robo de tarjeta de crédito del mismo dominio, aparentemente una variante separada que aún no se ha incluido en el sitio web de 360 NetLab.
Como los atacantes suelen explotar vulnerabilidades conocidas en el software de comercio electrónico en línea para inyectar sus scripts maliciosos, se recomienda a los administradores de sitios web que sigan las mejores prácticas de seguridad, como la aplicación de las últimas actualizaciones y parches, la limitación de privilegios para sistemas críticos y el fortalecimiento de los servidores web.
También se recomienda a los administradores de sitios web que aprovechen la Política de seguridad de contenido (CSP) que efectivamente permite tomar un control estricto sobre exactamente qué recursos pueden cargarse en su sitio.
Mientras tanto, también se recomienda a los compradores en línea que revisen periódicamente su tarjeta de crédito y estados de cuenta bancarios para detectar cualquier actividad desconocida. No importa cuán pequeña sea la transacción no autorizada que usted observe, siempre debe informarla inmediatamente a su banco de inmediato.
IOC
magento-analytics[.]com
AS | IP | AS Name
55933 | 93.187.129.249 | CLOUDIE-AS-AP Cloudie Limited, HK
