Se ha observado una sofisticada campaña de Magecart manipulando la página de error 404 predeterminada de los sitios web para ocultar código malicioso en lo que se describe como la última evolución de los ataques.
La actividad, según Akamai, se dirige a sitios web de Magento y WooCommerce, y algunas de las víctimas pertenecen a grandes organizaciones de las industrias alimentaria y minorista.
«En esta campaña, todos los sitios web víctimas que detectamos fueron explotados directamente, ya que el fragmento de código malicioso se inyectó en uno de sus recursos propios», dijo el investigador de seguridad de Akamai, Roman Lvovsky. dicho en un análisis del lunes.
Esto implica insertar el código directamente en las páginas HTML o dentro de uno de los scripts propios que se cargaron como parte del sitio web.
Los ataques se realizan a través de una cadena de varias etapas, en la que el código del cargador recupera la carga útil principal durante el tiempo de ejecución para capturar la información confidencial ingresada por los visitantes en las páginas de pago y exfiltrarla a un servidor remoto.
«El propósito de separar el ataque en tres partes es ocultarlo de manera que sea más difícil de detectar», explicó Lvovsky. «Esto hace que el ataque sea más discreto y más difícil de detectar por parte de los servicios de seguridad y herramientas de escaneo externas que puedan estar instaladas en el sitio web objetivo».
«Esto permite la activación del flujo completo del ataque sólo en las páginas específicamente objetivo; es decir, debido a las medidas de ofuscación utilizadas por el atacante, la activación del flujo completo del ataque sólo puede ocurrir donde el atacante pretendía que fuera ejecutar.»
El uso de páginas de error 404 es una de las tres variaciones de la campaña, las otras dos ofuscan el código skimmer en una etiqueta de imagen HTML con formato incorrecto. atributo de error y como un script en línea que se hace pasar por el Metapíxel fragmento de código.
El código falso Meta Pixel, por su parte, obtiene una imagen PNG del propio directorio del sitio web que contiene una cadena codificada en Base64 adjunta al final del archivo binario de la imagen, que, cuando se decodifica, representa un fragmento de código JavaScript que se extiende a un dominio controlado por el actor para recuperar la carga útil de la segunda etapa.
«Este código es responsable de llevar a cabo diversas actividades maliciosas en la página sensible objetivo, con el objetivo de leer los datos personales y de tarjeta de crédito sensibles del usuario y transmitirlos de regreso al servidor C2 del skimmer», dijo Lvovsky.
Ambas técnicas están diseñadas para eludir medidas de seguridad como el análisis estático y el escaneo externo, prolongando efectivamente la vida útil de la cadena de ataque.
Sin embargo, es la tercera variante del cargador la que destaca por su inusual técnica de ocultación al aprovechar las páginas de error predeterminadas del sitio web. Aparece como un script en línea o como un código Meta Pixel falso, envía una solicitud GET a una URL inexistente en el sitio web, lo que activa un «404 No encontrado» respuesta.
Esta respuesta apunta a una página de error modificada que oculta el código del skimmer en su interior. El skimmer funciona superponiendo un formulario de pago similar en las páginas de pago para capturar los datos para su posterior exfiltración en forma de una cadena codificada en Base64.
«La idea de manipular la página de error 404 predeterminada de un sitio web objetivo puede ofrecer a los actores de Magecart varias opciones creativas para mejorar el ocultamiento y la evasión», dijo Lvovsky.
«La solicitud a la ruta propia que conduce a la página 404 es otra técnica de evasión que puede eludir los encabezados de la Política de seguridad de contenido y otras medidas de seguridad que pueden estar analizando activamente las solicitudes de red en la página».