Los hackers ocultan el skimmer world-wide-web detrás del favicon de un sitio world wide web


carro de compras tarjeta magecart

En una de las campañas de hackeo más complejas e innovadoras detectadas hasta la fecha, un grupo de hackers creó un sitio world wide web falso de alojamiento de iconos para disfrazar el código malicioso destinado a robar datos de tarjetas de pago de sitios web hackeados.

La operación es a lo que los investigadores de seguridad se refieren en estos días como un desnatado web, e-desnatado o un ataque Magecart.

Los piratas informáticos violan los sitios world wide web y luego ocultan el código malicioso en sus páginas, código que registra y roba los detalles de la tarjeta de pago a medida que se ingresan en los formularios de pago.

Los ataques de descremado en la world wide web han estado ocurriendo durante casi cuatro años, y a medida que las empresas de seguridad están mejorando para detectarlos, los atacantes también se están volviendo más astutos.

Los hackers crearon un portal de alojamiento de iconos falsos

En un informe publicado hoy, La firma estadounidense de ciberseguridad Malwarebytes dijo que detectó a uno de esos grupos llevando sus operaciones a un nivel completamente nuevo de sofisticación con un nuevo truco.

La empresa de seguridad dice que descubrió este grupo mientras investigaba una serie de extraños hacks, donde lo único modificado en los sitios pirateados era el favicon, la imagen del logotipo que se muestra en las pestañas del navegador.

El nuevo favicon era un archivo de imagen legítimo alojado en MyIcons.web, sin código malicioso oculto en su inside. Sin embargo, aunque el cambio parecía inocente, Malwarebytes dijo que el código de descremado internet todavía se cargaba en sitios pirateados, y claramente había algo extraño con el nuevo favicon.

favicon-trick.png "src =" https://zdnet2.cbsistatic.com/hub/i/2020/05/06/b7fcc039-3add-48e8-a1c6-1e10ac83019a/favicon-trick.png

Imagen: Malwarebytes

El truco, según Malwarebytes, fue que el sitio world-wide-web MyIcons.web sirvió un archivo favicon legítimo para todas las páginas de un sitio web, excepto en las páginas que contenían formularios de pago.

En estas páginas, el sitio world-wide-web MyIcons.net cambiaba en secreto el favicon con un archivo JavaScript malicioso que creaba un formulario de pago falso y robaba los detalles de la tarjeta de usuario.

Malwarebytes dijo que los propietarios del sitio que investiguen el incidente y accedan al sitio web MyIcons.web encontrarán un portal de alojamiento de íconos en pleno funcionamiento y se engañarán para creer que es un sitio legítimo.

Sin embargo, la firma de seguridad dice que MyIcons.web era en realidad un clon del portal legítimo IconArchive.com, y que su función principal period ser un señuelo.

Además, el sitio también estaba alojado en servidores utilizados anteriormente en otras operaciones de descremado internet, según lo informado por otra empresa de ciberseguridad Sucuri unas semanas antes

El grupo detrás de esta operación hizo grandes esfuerzos para ocultar su código malicioso sin embargo, los intrusivos trucos de robo de tarjetas raramente pasan desapercibidos y casi siempre se descubren.

No obstante, el esfuerzo para construir un portal de alojamiento de iconos falso es algo que no se había visto antes en otras operaciones de descremado internet, aunque otros tipos de grupos de delitos informáticos han hecho cosas similares.

Por ejemplo, la pandilla de circonio registró 28 agencias de publicidad falsas para mostrar anuncios maliciosos en miles de sitios, y el operador del troyano de acceso remoto Orcus registró y operaba una empresa en Canadá que afirmaba proporcionar software de acceso remoto para trabajadores de empresas.



Enlace a la noticia unique