Los piratas informáticos centrados en las plataformas de comercio electrónico en línea para filtrar los datos de las tarjetas de pago de los usuarios han ideado un nuevo método inteligente que les permite almacenar la información de la tarjeta de crédito robada en un archivo .JPG local.
La nueva técnica fue detectada por investigadores de seguridad de Sucuri mientras investigaban una tienda en línea comprometida que ejecuta la versión 2 de la plataforma de comercio electrónico de código abierto Magento.
Profundizando más, los investigadores encontraron una inyección maliciosa en la página de pago del sitio que capturaba datos de solicitudes POST de los visitantes del sitio. Luego, los datos capturados se codificaron y guardaron en un archivo .JPG.
“El siguiente código PHP se encontró inyectado en el archivo ./vendor/magento/module-customer/Model/Session.php. Para cargar el resto del código malicioso en el entorno comprometido, se crea y se llama a la función getAuthenticates ”, explicó Sucuri.
El código malicioso crearía el archivo de imagen (pub / media / tmp / design / file / default_luma_logo.jpg) para almacenar los datos capturados, lo que permitiría a los atacantes acceder y descargar fácilmente la información robada.
El código malicioso utiliza el marco de código de Magento para capturar los datos POST, así como la función getPostValue de Magento para capturar los datos de la página de pago dentro del parámetro Customer_ POST. El código PHP también verifica si un usuario ha iniciado sesión en el sitio web y, si es así, captura la dirección de correo electrónico del usuario.
"Casi toda la información enviada por la víctima en la página de pago se almacena dentro del 'parámetro Customer_', incluidos los nombres y direcciones completos, los detalles de la tarjeta de pago, los números de teléfono y los detalles del agente de usuario", escribieron los investigadores.
“Los delincuentes siempre están buscando activamente nuevos métodos para evitar la detección de su comportamiento malicioso en sitios web comprometidos. El uso creativo del .JPG falso permite que un atacante oculte y almacene los detalles de la tarjeta de crédito recolectada para uso futuro sin llamar demasiado la atención del propietario del sitio web ".
https://blog.sucuri.net/2021/03/magento-2-php-credit-card-skimmer-saves-to-jpg.html
