En marcha Carro mágico La campaña ha atraído la atención de los investigadores de seguridad cibernética por aprovechar pantallas de pago falsas de aspecto realista para capturar datos confidenciales ingresados por usuarios desprevenidos.
«El actor de amenazas usó logotipos originales de la tienda comprometida y personalizó un elemento web conocido como modal para secuestrar perfectamente la página de pago», Jérôme Segura, director de inteligencia de amenazas en Malwarebytes, dicho. «Lo notable aquí es que el skimmer se ve más auténtico que la página de pago original».
El término Carro mágico es un comodín que se refiere a varios grupos de delitos cibernéticos que emplean técnicas de desnatado en línea para robar datos personales de sitios web, más comúnmente, detalles de clientes e información de pago en sitios web de comercio electrónico.
El nombre se origina en la orientación inicial de los grupos hacia la plataforma Magento. De acuerdo a datos compartido por Sansec, los primeros ataques similares a Magecart se observaron ya en 2010. A partir de 2022, se estima que más de 70,000 tiendas se vieron comprometidas con un skimmer web.
Estos ataques de skimming digital, también llamados formjacking, tradicionalmente aprovechan varios tipos de trucos de JavaScript para desviar información confidencial de los usuarios del sitio web.
La última iteración, según lo observado por Malwarebytes en una tienda de accesorios de viaje parisina sin nombre que se ejecuta en el CMS de PrestaShop, involucró la inyección de un skimmer llamado Kritec para interceptar el proceso de pago y mostrar un diálogo de pago falso a las víctimas.
Kritec, previamente detallada por Akamai y Malwarebytes en febrero de 2023, se ha descubierto que se hace pasar por proveedores externos legítimos como Google Tag Manager como técnica de evasión.
La firma de seguridad cibernética dijo que el skimmer es complejo y está muy ofuscado, con el modal malicioso cargado al seleccionar una tarjeta de crédito como opción de pago del sitio web comprometido.
Una vez que se recopilan los detalles de la tarjeta de pago, se muestra brevemente a la víctima un mensaje de error falso sobre la cancelación del pago antes de redirigir a la página de pago real, momento en el que se realizará el pago.
«El skimmer dejará caer una cookie que servirá como indicación de que la sesión actual ahora está marcada como completada», explicó Segura. «Si el usuario volviera e intentara el pago nuevamente, el modal malicioso ya no se mostraría».
Aprenda a detener el ransomware con protección en tiempo real
Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware en seco con MFA en tiempo real y protección de cuenta de servicio.
Se dice que los actores de amenazas detrás de la operación están utilizando diferentes dominios para alojar el skimmer, que reciben nombres similares: «[name of store]-loader.js», lo que sugiere que los ataques se dirigen a diferentes tiendas en línea con modales personalizados.
“Discernir si una tienda online es de confianza se ha vuelto muy difícil y este caso es un buen ejemplo de un skimmer que no levantaría sospechas”, dijo Segura.
Los hallazgos llegan poco más de dos meses después de Malwarebytes desenterrado otro skimmer web que recopila datos de huellas dactilares del navegador, como direcciones IP y Agente de usuario cadenas, junto con la información de la tarjeta de crédito, probablemente en un intento de monitorear usuarios inválidos como bots e investigadores de seguridad.