La batalla por el código de descremado en el sitio web NutriBullet puede haber puesto en riesgo los datos de la tarjeta de crédito


Una de las mayores filtraciones de datos se remonta al ataque de malware de Wawa 2019
La violación de Wawa puede clasificarse como una de las más grandes de todos los tiempos, comparable a las violaciones anteriores de Home Depot y Target.

NutriBullet se ha convertido en el último de una serie de víctimas de Magecart con código skimmer implantado en el dominio de la empresa para robar datos financieros de los clientes.

Investigación hecho público el miércoles by RiskIQ dijo que las intrusiones fueron obra del Grupo 8 de Magecart, un colectivo bajo el paraguas de Magecart.

Magecart es un término general que ahora se usa para definir ataques utilizando código JavaScript y vulnerabilidades del sitio web para plantar skimmers en páginas relacionadas con compras en línea. El código de skimmer oculta la información de la tarjeta de pago cuando los clientes lo envían durante las compras en línea.

Ver también: Las compañías financieras pierden 425 GB de datos de la compañía y del cliente a través de una base de datos abierta

Luego, estos datos se llevan a un servidor de comando y control (C2) controlado por un grupo de ataque, donde puede venderse a granel o utilizarse para realizar compras fraudulentas.

Según el investigador de RiskIQ, Yonathan Klijnsma, el código de skimmer Magecart se detectó recientemente en el dominio internacional para el fabricante de la licuadora.

Visto por primera vez el 20 de febrero, el skimmer original se retiró antes del 1 de marzo, pero solo cinco días después, se instaló otro skimmer. El juego del gato y el ratón continuó, con RiskIQ trabajando rápidamente con AbuseCH y ShadowServer para eliminar el C2 que facilita la transferencia de datos de tarjetas robadas.

Sin embargo, el 10 de marzo, se detectó el código del skimmer con otra dirección C2 de reemplazo.

La ayuda externa y la eliminación de los dominios externos conectados al skimmer simplemente no son suficientes, ya que mientras existan vulnerabilidades o debilidades en la infraestructura del sitio web, los atacantes pueden simplemente desplegar nuevas cargas maliciosas para reanudar las operaciones criminales.

CNET: Elecciones en medio del coronavirus: cómo los funcionarios apuntan a mantener seguros a los votantes

El primer skimmer apuntó a una biblioteca jQuery JavaScript utilizada por todas las páginas de NutriBullet y se agregó en la parte inferior de la biblioteca. Este ejemplo de código en particular se ha detectado en más de 200 dominios comprometidos, incluido el caso del mismo grupo de Magecart que golpeó a Amerisleep y MyPillow en 2019.

screenshot-2020-03-18-at-11-57-15.png

RiskIQ

El segundo skimmer apuntó a un recurso separado, un submódulo para jQuery, mientras que el tercero fue inyectado en la parte superior de otro script en el dominio NutriBullet, main-build-8a9adc31.js.

TechRepublic: Coronavirus: lo que los profesionales de negocios necesitan saber

En el momento en que la publicación del blog se hizo pública, RiskIQ dijo que había intentado ponerse en contacto con NutriBullet en el transcurso de tres semanas, pero que no había recibido respuesta. La firma de ciberseguridad recomendó que los clientes eviten "realizar compras en el sitio ya que los datos del cliente están en peligro".

Sin embargo, en un declaración a ThreatPost, la compañía dijo que el equipo comenzó a trabajar el 17 de marzo para contener el problema.

"El equipo de TI identificó rápidamente el código malicioso y lo eliminó", agregó NutriBullet. "Hemos lanzado investigaciones forenses para determinar cómo se vio comprometido el código y hemos actualizado nuestras políticas y credenciales de seguridad para incluir la autenticación multifactor como precaución adicional".

Magecart Group 8 tiende a centrarse en objetivos específicos en lugar de utilizar un enfoque de "rociar y orar". En 2019, el grupo de amenaza apuntó a la infraestructura web de un intercambio nacional de diamantes, y al comprometer el backend principal, el grupo pudo infectar múltiples dominios locales.

"Dada la naturaleza lucrativa del robo de cartas, los ataques de Magecart continuarán evolucionando y sorprenderán a los investigadores de seguridad con nuevas capacidades", dijo Klijnsma. "Están aprendiendo de ataques pasados ​​a mantenerse un paso adelante, por lo que corresponde a la comunidad de seguridad hacer lo mismo".

ZDNet se ha comunicado con NutriBullet y se actualizará si recibimos una respuesta.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia original