Los skimmers de tarjetas de crédito ahora están siendo enterrados en metadatos de archivos de imagen en sitios net de comercio electrónico


Los ciberdelincuentes que utilizan skimmers de tarjetas de crédito en línea continúan mejorando sus métodos de ataque, y esta vez, se ha encontrado código malicioso enterrado en metadatos de archivos de imagen cargados por sitios website de comercio electrónico.

Según Jérôme Segura, Director de Inteligencia de amenazas de Malwarebytes, la nueva técnica es una forma de «ocultar los skimmers de tarjetas de crédito para evadir la detección».

En los últimos años, con el aumento gradual de la popularidad en las compras en línea, ahora más que nunca debido a la nueva pandemia de coronavirus, ha dado lugar a ataques cibernéticos dedicados al robo encubierto de información de tarjetas de pago utilizada al realizar compras en línea.

Después de que marcas conocidas fueron golpeadas en rápida sucesión, incluidas Ticketmaster y British Airways, se acuñó el término &#39Magecart&#39 para este tipo de ataques, en el que se inyecta JavaScript malicioso en las páginas del portal de pago de sitios website vulnerables para obtener detalles del cliente durante el mayor tiempo posible sin detección.

Innumerables dominios de comercio electrónico se han convertido en víctimas de Magecart, de los cuales prolíficas pandillas cibercriminales que se especializan en robo de tarjetas se han dividido y nombrado como grupos separados de Magecart para fines de seguimiento.

Ver también: La batalla del código de descremado en el sitio world-wide-web NutriBullet puede haber arriesgado los datos de la tarjeta de crédito del cliente

La firma de ciberseguridad ha explorado la nueva técnica, descrita en una entrada de web site publicado el jueves, que se cree que es obra del Grupo 9 de Magecart.

Originalmente, cuando Malwarebytes tropezó con un archivo de imagen de aspecto sospechoso, el equipo pensó que podría estar relacionado con una técnica más antigua que united states favicons para ocultar skimmers, como informó previamente ZDNet. La técnica utilizada en ataques documentados sirve favicons legítimos a la mayor parte de un sitio world wide web, pero guarda variantes maliciosas para las páginas del portal de pago.

Sin embargo, parece que Magecart Team 9 ha ido más allá. El código de skimmer de la tarjeta se encontró enterrado dentro de los metadatos EXIF ​​de un archivo de imagen, que luego serían cargados por tiendas en línea comprometidas.

Malwarebytes dice que la imagen maliciosa detectada fue cargada por una tienda utilizando un complemento de comercio electrónico de WordPress.

El ataque es una variación que united states favicons, pero con un giro. El código malicioso se rastreó a un dominio malicioso, sitio cddn (.), Que se carga a través de un archivo favicon. Si bien el código en sí no parecía malicioso a primera vista, un campo llamado «Copyright» en el campo de metadatos cargó el skimmer de la tarjeta utilizando un < img > etiqueta de encabezado, específicamente a través de un evento de mistake HTML, que se activa si se produce un error al cargar un recurso externo.

CNET: Twitter desafía a millones de cuentas cada semana para determinar si son bots o no

Cuando se carga en un sitio world-wide-web comprometido, el JavaScript toma datos de los campos utilizados para enviar información de pago, incluidos los nombres, las direcciones de facturación y los detalles de la tarjeta.

El grupo Magecart ofuscó el código dentro de los datos EXIF ​​y, de manera inusual, no enviará simplemente los datos robados por texto a un servidor de comando y control (C2). En cambio, los datos recopilados también se envían como archivos de imagen a través de solicitudes Post.

«Los actores de la amenaza probablemente decidieron seguir con el tema de la imagen para ocultar también los datos extraídos a través del archivo favicon.ico», dicen los investigadores.

TechRepublic: Los ataques de phishing apuntan a los trabajadores que regresan a la oficina

Se cree que Magecart Group 9 tiene la culpa, debido a los enlaces realizados por el investigador de seguridad @AffableKraut a dominios y registradores que también alojan scripts utilizando la técnica EXIF.

Esta no es la primera vez que los complementos de comercio electrónico de WordPress se han conectado a problemas de seguridad durante 2020. Hace varios meses, se descubrió un mistake en el campo Campos de pago versatile para el complemento WooCommerce que permitía a los atacantes usar cargas útiles XSS para crear cuentas de administrador en vulnerables dominios

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o más en Keybase: charlie0






Enlace a la noticia original