Los investigadores de seguridad cibernética han marcado una campaña de malware que roba tarjetas de crédito que se ha observado dirigida a sitios de comercio electrónico que ejecutan magento disfrazando el contenido malicioso dentro de las etiquetas de imagen en el código HTML para permanecer bajo el radar.
Magecart es el nombre dado a un malware que es capaz de robar información de pago confidencial de los sitios de compras en línea. Se sabe que los ataques emplean una amplia gama de técnicas, tanto en el lado del cliente como del servidor, para comprometer los sitios web y implementar skimmers de tarjetas de crédito para facilitar el robo.
Por lo general, dicho malware solo se activa o se carga cuando los usuarios visitan las páginas de pago para ingresar los detalles de la tarjeta de crédito sirviendo un formulario falso o capturando la información ingresada por las víctimas en tiempo real.
El término Magecart es una referencia al objetivo original de estos grupos de delitos cibernéticos, la plataforma Magento que ofrece características de pago y carrito de compras para minoristas en línea. A lo largo de los años, tales campañas adaptaron sus tácticas al ocultar el código malicioso mediante la codificación y la ofuscación dentro de fuentes aparentemente inofensivas, como imágenes falsas, archivos de audio, favicones e incluso 404 páginas de error.
“En este caso, el malware que afecta al cliente sigue el mismo objetivo: permanecer oculto”, el investigador de Sucuri Kayleigh Martin dicho. “Hace esto disfrazando contenido malicioso dentro de un etiquetahaciendo que sea fácil pasar por alto “.
“Es común para Etiquetas para contener cadenas largas, especialmente al hacer referencia a rutas de archivos de imagen o imágenes codificadas en Base64, junto con atributos adicionales como la altura y el ancho “.
La única diferencia es que el La etiqueta, en este caso, actúa como un señuelo, que contiene contenido codificado Base64 que apunta al código JavaScript que se activa cuando un Evento de Onerror se detecta. Esto hace que el ataque sea mucho más astuto, ya que el navegador confía inherentemente en la función Onerror.
“Si una imagen no se carga, la función OnError activará el navegador para que muestre un ícono de imagen roto”, dijo Martin. “Sin embargo, en este contexto, el evento OnError se secuestra para ejecutar JavaScript en lugar de solo manejar el error”.
Además, el ataque ofrece una ventaja adicional para los actores de amenaza en que el El elemento HTML generalmente se considera inocuo. El malware, por su parte, verifica si el usuario está en la página de pago y espera a que los usuarios desprevenidos hagan clic en el botón Enviar para desviar la información de pago confidencial ingresada por ellos a un servidor externo.
El script está diseñado para insertar dinámicamente una forma maliciosa con tres campos, número de tarjeta, fecha de vencimiento y CVV, con el objetivo de exfiltrarlo a un buen ritmo[.]com.
“El atacante logra dos goles impresionantes con este guión malicioso: evitar la detección fácil de los escáneres de seguridad codificando el guión malicioso dentro de un Etiqueta, y garantizar que los usuarios finales no noten cambios inusuales cuando se inserta la forma maliciosa, permaneciendo sin ser detectada el mayor tiempo posible “, dijo Martin.
“El objetivo de los atacantes que están apuntando a plataformas como Magento, WooCommerce, Prestashop y otros es permanecer sin ser detectado el mayor tiempo posible, y el malware que inyectan en sitios a menudo es más complejo que las piezas de malware más comúnmente encontradas que afectan a otros sitios”.
El desarrollo se produce cuando la compañía de seguridad del sitio web detalló un incidente que involucra un sitio de WordPress que aprovechó el directorio MU-Plugins (o complementos de uso obligatorio) para implantar puertas traseras y ejecutar el código PHP malicioso de manera sigilosa.
“A diferencia de los complementos regulares, los complementos de uso obligatorio se cargan automáticamente en cada carga de página, sin necesidad de activación o aparición en la lista de complementos estándar”, Puja Srivastava dicho.
“Los atacantes explotan este directorio para mantener la persistencia y evadir la detección, ya que los archivos colocados aquí se ejecutan automáticamente y no están fácilmente deshabilitados del panel de administración de WordPress”.
About the Author
