El peligroso ataque continuo que roba tarjetas de crédito de más de cien sitios de compras
Investigadores de NetLab de la firma de ciberseguridad china Qihoo 360 revelaron detalles de una campaña de hacking de tarjetas de crédito que actualmente está robando información de tarjetas de pago de clientes que visitan más de 105 sitios web de comercio electrónico.
Mientras monitoreaban un dominio malicioso, www.magento-analytics[.]com, durante los últimos siete meses, los investigadores descubrieron que los atacantes han estado inyectando scripts JS maliciosos alojados en este dominio en cientos de sitios web de compras en línea.
Los scripts de JavaScript en cuestión incluyen el código digital de la tarjeta de crédito que, al ejecutarse en un sitio, roba automáticamente la información de la tarjeta de pago, como el nombre del propietario de la tarjeta de crédito, el número de la tarjeta de crédito, la fecha vencimiento y la información de CVV ingresada por los clientes.
En una entrevista por correo electrónico, el investigador de NetLab aseguró que no tenían suficientes datos para determinar cómo los hackers infectaron los sitios web afectados en primer lugar o qué vulnerabilidades explotaron, pero confirmó que todos los sitios de compras afectados se están ejecutando en Magento, el popular sistema de gestión de contenido de comercio electrónico.
Cómo funciona
Un análisis posterior reveló que el script malicioso luego envía datos de tarjetas de pago robados a otro archivo alojado en el servidor magento-analytics[.]com controlado por los atacantes.
“Toma una víctima como ejemplo, www.kings2.com, cuando un usuario carga su página de inicio, JS también se ejecuta. Si un usuario selecciona un producto y va a la “Información de pago” para enviar la información de la tarjeta de crédito, después de ingresar los datos de CVV, la información de la tarjeta de crédito se cargará”, explican los investigadores en una publicación de su blog publicada hoy.
La técnica utilizada por el grupo detrás de esta campaña no es nueva y exactamente igual a la que usaron los infames grupos de hacking de tarjetas de crédito MageCart en cientos de sus ataques recientes, incluidos Ticketmaster, British Airways y Newegg.
Sin embargo, los investigadores de NetLab no han vinculado explícitamente este ataque a ninguno de los grupos de MageCart.
Además, no te confundas con el nombre de dominio – www.magento-analytics[.]com.
Tener Magento en el nombre de dominio no significa que el dominio malicioso esté asociado de alguna manera con la popular plataforma de comercio electrónico de Magento; en su lugar, los atacantes utilizaron esta palabra clave para disfrazar sus actividades y confundir a los usuarios regulares.
Según los investigadores, el dominio malicioso utilizado en la campaña está registrado en Panamá, sin embargo, en los últimos meses, la dirección IP se trasladó de “Estados Unidos, Arizona” a “Rusia, Moscú”, luego a “China, Hong Kong”.
Afectados
Si bien los investigadores descubrieron que el dominio malicioso ha estado robando información de tarjetas de crédito durante al menos cinco meses con un total de 105 sitios web ya infectados con el JS malicioso, creen que este número podría ser mayor que lo que aparecía en su radar.
Ayer mismo, un usuario publicó en un foro que su sitio web de Magento también fue hackeado recientemente y los atacantes inyectaron secretamente un script de robo de tarjeta de crédito del mismo dominio, aparentemente una variante separada que aún no se ha incluido en el sitio web de 360 NetLab.
Como los atacantes suelen explotar vulnerabilidades conocidas en el software de comercio electrónico en línea para inyectar sus scripts maliciosos, se recomienda a los administradores de sitios web que sigan las mejores prácticas de seguridad, como la aplicación de las últimas actualizaciones y parches, la limitación de privilegios para sistemas críticos y el fortalecimiento de los servidores web.
También se recomienda a los administradores de sitios web que aprovechen la Política de seguridad de contenido (CSP), que efectivamente permite tomar un control estricto sobre exactamente qué recursos pueden cargarse en tu sitio.
Mientras tanto, también se recomienda a los compradores en línea que revisen periódicamente su tarjeta de crédito y estados de cuenta bancarios para detectar cualquier actividad desconocida. No importa cuán pequeña sea la transacción no autorizada que observes, siempre debes informarla inmediatamente a tu banco.
