Los skimmers de tarjetas de crédito apuntan a sitios web de comercio electrónico que ejecutan Microsoft IIS y ASP.Internet


Los atacantes están buscando números de tarjetas de crédito en los servidores Microsoft IIS que ejecutan una versión anterior y vulnerable de ASP.Net, dice Malwarebytes.

Phishing de tarjeta de crédito

Imagen: iStockphoto / weerapatkiatdumrong

El robo de tarjetas de crédito en línea es un método de ataque común mediante el cual los ciberdelincuentes piratean sitios website y servidores para buscar números de tarjetas de crédito utilizados en transacciones de comercio electrónico. Al apuntar a sitios de comercio electrónico, los atacantes generalmente golpean entornos LAMP (Linux, Apache, MySQL y PHP) debido principalmente a su ubicuidad y popularidad. Sin embargo, una nueva campaña de robo de tarjetas analizada por la empresa de seguridad Malwarebytes está dirigida a sitios que ejecutan los Servicios de Información de Web (IIS) de Microsoft y ASP.Internet.

VER: Fuerza bruta y ataques de diccionario: una hoja de trucos (PDF gratuito) (TechRepublic)

La mayoría de las actividades de robo de tarjetas observadas por Malwarebytes han estado en contra de los sistemas de administración de contenido de comercio electrónico (CMS) como Adobe Magento y complementos como WooCommerce, dijo la compañía en un publicación de website publicada el lunes.

Además, tales ataques a menudo se dirigen contra las plataformas LAMP de código abierto, que son favorecidas por muchos individuos y organizaciones. Pero este ataque, que surgió a mediados de abril, está dirigido al objetivo más inusual de los sitios basados ​​en ASP.Internet que ejecutan Microsoft IIS.

El ataque ya ha comprometido al menos a una docena de sitios internet, incluidas organizaciones deportivas, asociaciones de salud y comunitarias, e incluso una cooperativa de crédito. Los atacantes obtienen el acceso necesario para escanear en busca de números de tarjetas de crédito mediante la inyección directa o remota de código malicioso en las bibliotecas JavaScript existentes. El skimmer está diseñado para buscar no solo los números de tarjeta de crédito sino también las contraseñas, aunque la funcionalidad de contraseña en el código fuente no parecía funcionar correctamente, según Malwarebytes.

iis-asp-skimming-attack-malwarebytes.jpg "src =" https://tr1.cbsistatic.com/hub/i/r/2020/07/07/dcbb1a78-f675-4516-95ef-dc87a934fbff/resize/770x /74b9e7abbdcb092fb2884fc60b0d565a/iis-asp-skimming-attack-malwarebytes.jpg

Una instantánea de los sitios de las víctimas con bibliotecas de JavaScript comprometidas.

Imagen: Malwarebytes

Aunque ASP.Web no es un entorno de servidor world-wide-web tan popular como PHP, todavía prevalece entre muchos sitios net que ejecutan una función de carrito de compras. Todos los sitios comprometidos tenían un portal de compras establecido, por lo que fueron atacados por los atacantes.

«Los atacantes no necesitan limitarse a las plataformas de comercio electrónico más populares», dijo Malwarebytes en su publicación de site. «De hecho, cualquier sitio web o tecnología es un juego justo, siempre y cuando se pueda subvertir sin demasiado esfuerzo. En algunos casos, notamos compromisos &#39accidentales&#39, en los que algunos sitios son pirateados e inyectados a pesar de que no eran realmente víctimas previstas «.

Otro hilo común de los sitios comprometidos es que todos estaban ejecutando ASP.Web 4..30319, una versión que ya no es compatible con Microsoft y que está repleta de múltiples vulnerabilidades. Algunos de los sitios afectados han resuelto el compromiso. Malwarebytes dijo que contactó a los sitios restantes para alertarlos sobre la violación con la esperanza de que protegieran su entorno.

«El descremado electronic es una amenaza creciente que ya no solo apunta a un tipo específico de software program de comercio electrónico», dijo Jerome Segura, director de inteligencia de amenazas de Malwarebytes Labs. «Como resultado, es importante que las organizaciones vayan más allá del cumplimiento de PCI y fortalezcan su infraestructura. Las revisiones periódicas de los registros del servidor también pueden proporcionar una gran cantidad de información sobre los tipos de ataques a los que se enfrenta una empresa y cómo responder mejor a ellos».

¿Qué debe hacer si su organización puede haber sido comprometida por este ataque o todavía está ejecutando una versión no appropriate de ASP.Internet?

«Las organizaciones afectadas deberían comenzar el proceso de remediación identificando sus activos, realizando copias de seguridad completas (si no lo han hecho) y luego procediendo a eliminar cualquier artefacto de malware», dijo Segura. «En cuanto a la actualización del program, este puede ser un proceso más delicado y donde un firewall de aplicaciones world-wide-web puede ser útil para ayudarlos a comprar algo de tiempo para planificar el proceso de actualización».

Microsoft también ofrece varias guías sobre cómo actualizar diferentes versiones de ASP.Internet en su Página de documentación de .Web Framework.

Ver también



Enlace a la noticia primary