Spoofs de dominio de descremado web astuto «https» – Krebs on Protection


Hoy temprano, KrebsOnSecurity alertó al décimo distribuidor de alimentos más grande de los Estados Unidos que uno de sus sitios net había sido pirateado y modificado con código que roba datos de inicio de sesión y tarjeta de crédito. Si bien estos ataques de robo de tarjetas de sitios world wide web no son nuevos, esta intrusión aprovechó un nuevo dominio furtivo que se esconde con bastante facilidad en el código fuente de un sitio pirateado: «http (.) ps«(El dominio malicioso real no incluye los corchetes, que están allí para evitar que los lectores puedan hacer clic en él).

Este dominio astuto estaba oculto dentro de las páginas de pago e inicio de sesión para grandwesternsteaks.com, un servicio de entrega de carne propiedad de Cheney Bros. Inc., un importante distribuidor de alimentos con sede en Florida. Así es como se veía una parte de la página de inicio de sesión hasta hoy cuando hizo clic derecho en la página y seleccionó «ver fuente»:

El dominio malicioso agregado al código HTML de grandwesternsteaks.com (resaltado en naranja) obtuvo una secuencia de comandos que interceptó los datos ingresados ​​por los clientes, incluidos los detalles de la tarjeta de crédito y los inicios de sesión. Desde entonces, el código ha sido eliminado del sitio.

La visualización de la fuente HTML del enlace malicioso resaltado en la captura de pantalla anterior revela el código de robo de tarjetas ofuscado, cuyo fragmento se muestra a continuación:

El código de roce de tarjetas ofuscado está lleno de referencias a «hormigas» y «cucarachas», lo cual es suficiente para darle a cualquier propietario del sitio los heebie-jeebies.

Una straightforward búsqueda en el dominio malicioso «http (.) Ps» en el servicio de búsqueda HTML publicwww.com muestra que este código está presente en casi una docena de otros sitios, incluido un minorista de instrumentos musicales, una tienda de farmacia a base de hierbas en Europa y un negocio en España que vende controladores lógicos programables – Ordenadores y placas de circuito caros diseñados para controlar grandes operaciones industriales.

El dominio http (.) Ps está alojado en Rusia y se encuentra en un servidor con otro dominio malicioso: autocapital (.) pw. Según una publicación de Twitter del 3 de marzo realizada por un investigador de seguridad y blogger Denis Sinegubko, el dominio de autocapital actúa como un recopilador de datos acumulado por el script de skimming http (.) ps.

Jerome Segura sobre Malwarebytes recientemente escribió sobre un ataque very similar en el que los intrusos utilizaron http (.) ps para falsificar la ubicación de un script que ayuda a mejorar los tiempos de carga de la página para los sitios que dependen de la empresa de infraestructura web Flama de nube.

«Hay una sutil diferencia en la ruta URI que carga ambos scripts», escribió Segura. «El malicioso utiliza una forma inteligente de convertir el nombre de dominio http.ps (tenga en cuenta el punto «.», additional «p» y doble barra «//») en algo que se parece a «https: //». Los actores de la amenaza se están aprovechando del hecho de que desde Google Chrome versión 76, el esquema «https» (y el subdominio de casos especiales «www») ya no se muestra a los usuarios «.

Segura dice que hay dos formas en que los sitios de comercio electrónico se ven comprometidos aquí:

  • Código de descremado que se inyecta en una biblioteca de JavaScript alojada automáticamente (la biblioteca jQuery parece ser la más específica)
  • Un script que hace referencia a un JavaScript externo, alojado en un sitio malicioso (en este caso, http (.) Ps)

Malwarebytes evalúa que los trucos que utiliza este dominio para ofuscar el código malicioso están vinculados a varias campañas de malware de pirateo de sitios que data de 2016. Por cierto, una instalación de Malwarebytes en una máquina de prueba utilizada para esta investigación bloqueó la carga del script http (.) Ps en cada uno de los sitios comprometidos que encontré.

Finalmente, el little bit «.ps» del dominio de descremado malicioso se refiere al código de país de dominio de nivel top-quality (ccTLD) para el Estado de Palestina. El dominio se registró el 7 de febrero.

Si ejecuta un sitio website de comercio electrónico, sería una buena strategy leer sobre el apalancamiento Política de seguridad de contenido (CSP) encabezados de respuesta y Integridad de recursos características de seguridad ofrecidas por los navegadores web modernos. Ofrecen opciones de mitigación para evitar que su sitio se use en estos ataques de robo de tarjetas. Ryan Barnett a Akamai escrito una publicación de blog site completa No hace mucho que vale la pena leer estos enfoques (divulgación completa: Akamai es un anunciante en este sitio).

He estado jugando recientemente con privacy.com, que, entre otras cosas, ofrece un servicio gratuito que permite a los usuarios generar un número de tarjeta de crédito único y único para cada transacción en línea (privacy.com gana dinero con las tarifas de intercambio pagadas por los comerciantes). La belleza de este enfoque es que si uno de estos skimmers del sitio desliza los datos de su tarjeta de crédito, no tendrá que cambiar la información de su tarjeta de crédito en docenas de otros sitios y servicios que frecuenta.


Etiquetas: .ps, Akamai, Cheney Bros. Inc., política de seguridad de contenido, Denis Sinegubko, grandwesternsteaks.com, Jerome Segura, Malwarebytes, privateness.com, publicwww, Ryan Barnett, Subresource Integrity

Esta entrada fue publicada el miércoles 11 de marzo de 2020 a las 8:28 pm y está archivada bajo A Minimal Sunshine, The Coming Storm, World wide web Fraud 2..
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puedes saltar hasta el final y dejar un comentario. Pinging no está permitido actualmente.





Enlace a la noticia unique