Malware furtivo Skimmer ataca sitios de Magento antes del Black Friday

Como
Gustó

Fecha:

Los atacantes están apuntando a los sitios web de comercio electrónico Magento con un nuevo robo de cartas Un malware que puede extraer de forma dinámica los datos de pago de las páginas de pago de las transacciones en línea. El ataque, descubierto por un investigador de la empresa de seguridad web Surcuri, se produce en un momento en que los minoristas y compradores en línea se preparan para el día de compras en línea históricamente ajetreado del Black Friday de esta semana.

El analista de seguridad de Sucuri, Weston Henry descubrió el ataque en forma de una inyección de JavaScript maliciosa, que tiene múltiples variantes y apunta a sitios creados en la popular plataforma de comercio electrónico de dos maneras diferentes, según una publicación de blog publicada el 26 de noviembre.

Una forma de hacerlo es creando un formulario de tarjeta de crédito falso para robar los datos de la tarjeta, y la otra es extrayendo los datos directamente de los campos de pago. “Su enfoque dinámico y sus mecanismos de cifrado hacen que sea difícil de detectar”, explicó en la publicación Puja Srivastava, analista de seguridad de Sucuri. Luego, los datos se cifran y se exfiltran a un servidor remoto controlado por el atacante.

Sitios web basados ​​en Magento son un objetivo frecuente para los cibercriminales debido a su uso generalizado para el comercio electrónico y los valiosos datos de los clientes que manejan, incluidos los datos de las tarjetas de pago o las cuentas bancarias. Y el robo de datos de tarjetas, generalmente realizado por un grupo de cibercriminales en conjunto Conocido como Magecart — es un vector de ataque popular para robar dichos datos de estos sitios.

Relacionado:News Desk 2024: ¿Puede GenAI escribir código seguro?

Víctimas cibernéticas atacadas durante el proceso de pago

Henry descubrió el script malicioso durante una inspección de rutina de un sitio basado en Magento con SiteCheck de Sucuri. “La herramienta identificó un recurso originado en el dominio incluido en la lista negra dynamicopenfonts.app”, explicó el analista de seguridad de Sucuri Puja Srivastava en la publicación. Finalmente, el recurso se encontró en dos ubicaciones del sitio.  

Uno de los lugares donde fue encontrado fue dentro del Directiva del archivo XML, que está diseñada para cargar un recurso JavaScript justo antes del cierre. etiqueta.

Los atacantes ofuscaron el contenido del script externo para evitar ser detectados, “lo que hizo que fuera difícil identificarlo a primera vista”, señaló Srivastava.

Una vez ejecutado, el script se activa solo en páginas que contienen la palabra “checkout” pero excluyendo la palabra “cart” en la URL, con el objetivo de extraer información confidencial de la tarjeta de crédito de campos específicos en la página de pago.

Una vez completada esta tarea maliciosa, el malware recopila datos adicionales del usuario a través de las API de Magento, incluidos el nombre, la dirección, el correo electrónico, el número de teléfono y otra información de facturación del usuario. "Estos datos se recuperan a través de los modelos de cotización y datos de clientes de Magento", explicó Srivastava.

Relacionado:Israel desafía la crisis del capital riesgo con más inversiones en ciberseguridad

Potente juego antidetección de malware de Magento

Los investigadores descubrieron que los atacantes detrás del malware han tenido cuidado de utilizar múltiples técnicas antidetección para ocultar su actividad maliciosa. Mientras el malware recopila los datos, primero los codifica como JSON y luego los encripta con XOR con la clave "script" para agregar una capa adicional de ofuscación, descubrieron los investigadores.

Los datos cifrados también se codifican en Base64 antes de enviarse mediante una técnica de balizamiento a un servidor remoto en staticfonts.com. El balizamiento es un método mediante el cual un script o programa envía datos de forma silenciosa desde el cliente a un servidor remoto sin alertar al usuario ni interrumpir su actividad.

Si bien las aplicaciones legítimas, como las herramientas de análisis, también utilizan balizamiento, los actores maliciosos prefieren la tecnología porque es una forma sigilosa y difícil de detectar de transmitir datos robados, señalaron los investigadores.

Cómo proteger los sitios de comercio electrónico de los ciberataques

Para proteger los sitios de comercio electrónico De los sigilosos lectores de tarjetas — especialmente en días de mucha actividad comercial como Black Friday, que son una mina de oro para los ciberdelincuentes, Sucuri recomienda que los administradores realicen auditorías de seguridad periódicas, monitoreen la actividad inusual e implementen un firewall de aplicaciones web (WAF) sólido para proteger los sitios.

Relacionado:APT 'RomCom' lanza ataques de día cero y de clic cero en Firefox y Tor

También deben asegurarse de que los sitios se actualicen constantemente con los últimos parches de seguridad, ya que “el software obsoleto es un objetivo principal para los atacantes que explotan vulnerabilidades en complementos y temas antiguos”, escribió Srivastava.

Los administradores también deben asegurarse de utilizar contraseñas seguras y únicas en los sitios de comercio electrónico para reforzar la seguridad y evitar que los atacantes las descifren fácilmente. Por último, implementar un sistema de monitoreo de la integridad de los archivos para detectar cualquier cambio no autorizado en los archivos del sitio web también puede servir como un sistema de alerta temprana.

Artículos relacionados

punto_img

Artículos Recientes

punto_img