El grupo Magecart salta del sitio world-wide-web de entradas olímpicas a una nueva ola de tiendas de comercio electrónico


¿Cómo fue hackeado el teléfono Bezos? Probablemente usando el adware Pegasus-3
Bezos hackearon el asesinato de Khashoggi y la posterior cobertura de los medios de The Washington Article.

Un grupo de Magecart ha expandido sus operaciones al comprometer no solo a un revendedor de boletos olímpicos, sino también a varios otros sitios world wide web que hacen referencia a un solo dominio malicioso que aloja el código skimmer subyacente.

Magecart es un término utilizado para describir el uso del código skimmer para comprometer las plataformas de pago de comercio electrónico. Los sitios world wide web legítimos que parecen confiables (el portal de British Airways y Ticketmaster son ejemplos excelentes) han sido infectados con esta forma de código malicioso en el pasado, lo que ha provocado el robo de números de tarjetas de pago del consumidor.

JavaScript es alojado por estos dominios o referenciado. Puede llevar tiempo detectar códigos ocultos y maliciosos en los portales de pago, por lo que pueden pasar semanas antes de que se erradique una infección. La información robada por los ciberatacantes se puede utilizar para crear tarjetas de clonación o realizar compras fraudulentas en línea.

Ver también: Magecart ataca de nuevo: los sitios world-wide-web de reservas de hoteles están bajo fuego

El mes pasado, los investigadores de seguridad Jacob Pimental y Max Kersten investigación publicada en una infección de Magecart descubierta en el revendedor de boletos olímpicos olympictickets2020 (.) com. El código malicioso se ofuscó y se agregó al final de una biblioteca legítima, slippry.js, y se usaron palabras clave, incluyendo pago, compra, pago y canasta, para afinar las páginas relacionadas con el pago. Cualquier información robada fue enviada a opendoorcdn (.) Com.

La compañía en cuestión fue notificada y, si bien la organización originalmente ignoró los hallazgos de los investigadores, el código finalmente se eliminó. Sin embargo, el equipo también encontró la misma infección de Magecart en un sitio website hermano, eurotickets2020 (.) Com.

En una continuación de la investigación, el dúo ha descubierto una nueva franja de sitios website que también hacen referencia al skimmer OpendoorCDN y, por lo tanto, están comprometidos por el mismo código malicioso, detallado en una entrada de blog el lunes.

Algunos de los sitios website, enumerados a continuación, han sido infectados desde octubre y noviembre del año pasado. (Corrección a continuación: Bahimi: 19 de noviembre).

screenshot-2020-02-03-at-09-27-51.png

Un análisis de la Dominio OpendoorCDN También reveló varios otros archivos de interés. Una es una réplica del skimmer first con nombres de variables alterados y un hash diferente, mientras que la otra, ahora eliminada, period un binario .Web empaquetado que crea un proceso llamado edge.exe, que luego se reveló como una versión del Coalabot botnet

CNET: FCC dice que la compañía telefónica violó las leyes sobre el intercambio de ubicaciones

Se contactó a los sitios net infectados con el skimmer, con correos electrónicos iniciales enviados el 27 de enero. En el momento de la escritura, titanssports.com.b aún puede verse afectado por el skimmer, mientras que los demás han eliminado las referencias al skimmer.

En la fuente, el skimmer fue alojado por el proveedor de alojamiento ruso Selectel y el nombre de dominio fue registrado por una compañía china llamada Webnic. Varios días después de ser contactado, Webnic solicitó una prueba del contenido malicioso y luego suspendió el dominio, haciendo inútil cada referencia a OpendoorCDN y evitando la inyección adicional de código malicioso en los sitios internet por ahora.

TechRepublic: Los piratas informáticos utilizan el susto del coronavirus para propagar el malware Emotet en Japón

El mes pasado, la Interpol y la policía indonesia arrestaron a tres hombres bajo sospecha de ser parte de una pandilla de Magecart en lo que se cree que es el primer caso de arrestos relacionados con Magecart. Los sospechosos sin nombre tienen 23, 27 y 35 años.

ZDNet se ha comunicado con titanssports.com.br y se actualizará cuando tengamos noticias.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia authentic