Los investigadores de ciberseguridad han descubierto que más de 80 sitios web de comercio electrónico comprometidos de Magecart enviaban activamente información de tarjetas de crédito de compradores en línea a los servidores controlados por los atacantes.
Operando sus negocios en los Estados Unidos, Canadá, Europa, América Latina y Asia, muchos de estos sitios web comprometidos son marcas de renombre en la industria del automovilismo y la alta moda, revelaron hoy investigadores de Aite Group y Arxan Technologies en un informe compartido con The Hacker News.
En un mundo que se está volviendo cada vez más digital, los ataques de Magecart se han convertido en una amenaza clave de ciberseguridad para los sitios web de comercio electrónico.
Magecart es un término general dado a diferentes grupos cibercriminales que se especializan en implantar en secreto.skimmers de tarjetas de crédito en línea en sitios web de comercio electrónico comprometidos con la intención de robar los detalles de la tarjeta de pago de sus clientes.
Estos skimmers virtuales de tarjetas de crédito, también conocidos como ataques de formjacking , son básicamente un código JavaScript que los ciberdelincuentes insertan en secreto en un sitio web comprometido, a menudo en la página del carrito de compras, diseñado para capturar información de pago de los clientes en tiempo real y enviarlo a un atacante remoto servidor controlado.
Magecart está en las noticias mucho últimamente por llevar a cabo varios atracos de alto perfil contra compañías importantes como British Airways , Ticketmaster , Newegg y otras .
La campaña recientemente divulgada no pertenece a un solo grupo de hackers de Magecart; en cambio, los investigadores utilizaron un motor de búsqueda de código fuente para buscar JavaScript ofuscado en Internet con patrones maliciosos que se vieron previamente en los skimmers de tarjetas de crédito virtuales de Magecart.
Según los investigadores, la técnica les permitió descubrir rápidamente más de 80 sitios web de comercio electrónico comprometidos por grupos de Magecart, la mayoría de los cuales se encontraron ejecutando versiones desactualizadas de Magento CMS que son vulnerables a una carga no autenticada y vulnerabilidades de ejecución remota de código.
"La ausencia de protección en la aplicación, como la ofuscación del código y la detección de manipulación, hace que las aplicaciones web sean vulnerables a un tipo de ciberataque llamado formjacking", dijeron los investigadores.
"Muchos de los sitios comprometidos ejecutan la versión 1.5, 1.7 o 1.9. La carga arbitraria de archivos, la ejecución remota de código y las vulnerabilidades de falsificación de solicitudes entre sitios afectan a Magento versión 2.1.6 y posteriores. Si bien no se puede declarar con autoridad que esto es lo que llevó a la violación de estos sitios, estas son versiones vulnerables de Magento que permiten a los adversarios inyectar el código de formulario en el sitio ".
Aunque los investigadores no nombraron a las compañías comprometidas en su informe, trabajaron con las fuerzas del orden federales para notificar a todas las organizaciones afectadas, así como a los servidores externos antes de publicar su informe.
"Debido a que este es un proyecto en curso y activo, hemos decidido no nombrar los sitios de las víctimas", dijeron los investigadores a The Hacker News.
Además, los investigadores también analizaron las actividades de monetización de Magecart y descubrieron que, además de vender los datos de la tarjeta de pago robada en los foros de la darkweb, los atacantes también compran mercancías en sitios legítimos de compras en línea y las envían a mulas de mercancías preseleccionadas en un intento de lavado. Las transacciones fraudulentas.
"Para reclutar mulas de mercancías, el atacante publica trabajos que ofrecen a las personas la capacidad de trabajar desde casa y ganar grandes sumas de dinero para recibir y reenviar mercancías compradas con los números de tarjetas de crédito robadas", dicen los investigadores.
Luego, las mulas trabajan con los cargadores locales que reciben un pago por debajo de la mesa para enviar mercadería a los destinos de Europa del Este, donde se vende a compradores locales, lo que finalmente beneficia a los atacantes como una segunda línea de ingresos.
Los investigadores recomiendan los sitios web de comercio electrónico para, con la máxima prioridad, actualizar o parchear el software de su plataforma a la última versión que los proteja de exploits conocidos.
Además de esto, los sitios web de comercio electrónico también deben implementar la ofuscación de código y la criptografía de caja blanca para hacer que los formularios web sean ilegibles para el adversario, así como soluciones para detectar modificaciones no autorizadas de los archivos del sitio web.
También se recomienda a los compradores en línea que revisen periódicamente los detalles de su tarjeta de pago y los extractos bancarios para detectar cualquier actividad desconocida. No importa cuán pequeñas transacciones no autorizadas observe, siempre debe informarlo a sus instituciones financieras de inmediato.
IMAGEN: https://www.trustwave.com/
