Una campaña de robo de Magecart recientemente descubierta tiene sus raíces en una actividad de ataque anterior que se remonta a noviembre de 2021.
En ese sentido, ha salido a la luz que dos malware dominios identificados como alojamiento de código skimmer de tarjetas de crédito — «scanalytic[.]org» y «js. contador estático[.]net», son parte de una infraestructura más amplia utilizada para llevar a cabo las intrusiones, dijo Malwarebytes en un análisis del martes.
«Pudimos conectar estos dos dominios con un campaña anterior de noviembre de 2021 que fue el primer caso que conocemos de un skimmer que comprueba el uso de máquinas virtuales», Jérôme Segura dijo. «Sin embargo, ambos ahora carecen de código de detección de VM. No está claro por qué los actores de amenazas lo eliminaron, a menos que tal vez haya causado más problemas que beneficios».
La evidencia más temprana de la actividad de la campaña, basada en los dominios adicionales descubiertos, sugiere que se remonta al menos a mayo de 2020.
Magecart se refiere a un sindicato de delitos cibernéticos compuesto por docenas de subgrupos que se especializan en ataques cibernéticos que involucran el robo de tarjetas de crédito digitales mediante la inyección de código JavaScript en escaparates de comercio electrónico, generalmente en las páginas de pago.
Esto funciona cuando los agentes obtienen acceso a los sitios web, ya sea directamente o a través de servicios de terceros que suministran software a los sitios web específicos.
Mientras los ataques ganó protagonismo en 2015 por destacar la plataforma de comercio electrónico Magento (el nombre Magecart es un acrónimo de «Magento» y «carrito de compras»), desde entonces se han expandido a otras alternativas, incluido un complemento de WordPress llamado WooCommerce.
De acuerdo a un reporte publicado por Sucuri en abril de 2022, WordPress se ha convertido en la principal plataforma CMS para el malware de robo de tarjetas de crédito, superando a Magento en julio de 2021, con espumaderas ocultos en los sitios web en forma de imágenes falsas y JavaScript aparentemente inocuo tema archivos.
Además, los sitios web de WordPress representaron el 61 % de las detecciones conocidas de malware de robo de tarjetas de crédito durante los primeros cinco meses de 2022, seguidos de Magento (15,6 %), OpenCart (5,5 %) y otros (17,7 %).
«Los atacantes siguen el dinero, por lo que era solo cuestión de tiempo antes de que cambiaran su enfoque hacia la plataforma de comercio electrónico más popular en la web», señaló Ben Martin de Sucuri en ese momento.