{"id":990844,"date":"2023-10-10T10:49:20","date_gmt":"2023-10-10T10:49:20","guid":{"rendered":"https:\/\/teknomers.com\/es\/la-nueva-campana-de-magecart-modifica-las-paginas-de-error-404-para-robar-las-tarjetas-de-credito-de-los-compradores\/"},"modified":"2023-10-10T10:49:23","modified_gmt":"2023-10-10T10:49:23","slug":"la-nueva-campana-de-magecart-modifica-las-paginas-de-error-404-para-robar-las-tarjetas-de-credito-de-los-compradores","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/la-nueva-campana-de-magecart-modifica-las-paginas-de-error-404-para-robar-las-tarjetas-de-credito-de-los-compradores\/","title":{"rendered":"La nueva campa\u00f1a de Magecart modifica las p\u00e1ginas de error 404 para robar las tarjetas de cr\u00e9dito de los compradores"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>10 de octubre de 2023<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Seguridad del sitio web\/pirater\u00eda<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Se ha observado una sofisticada campa\u00f1a de Magecart manipulando la p\u00e1gina de error 404 predeterminada de los sitios web para ocultar c\u00f3digo malicioso en lo que se describe como la \u00faltima evoluci\u00f3n de los ataques.<\/p>\n

La actividad, seg\u00fan Akamai, se dirige a sitios web de Magento y WooCommerce, y algunas de las v\u00edctimas pertenecen a grandes organizaciones de las industrias alimentaria y minorista.<\/p>\n

“En esta campa\u00f1a, todos los sitios web v\u00edctimas que detectamos fueron explotados directamente, ya que el fragmento de c\u00f3digo malicioso se inyect\u00f3 en uno de sus recursos propios”, dijo el investigador de seguridad de Akamai, Roman Lvovsky. dicho<\/a> en un an\u00e1lisis del lunes.<\/p>\n

Esto implica insertar el c\u00f3digo directamente en las p\u00e1ginas HTML o dentro de uno de los scripts propios que se cargaron como parte del sitio web.<\/p>\n

Los ataques se realizan a trav\u00e9s de una cadena de varias etapas, en la que el c\u00f3digo del cargador recupera la carga \u00fatil principal durante el tiempo de ejecuci\u00f3n para capturar la informaci\u00f3n confidencial ingresada por los visitantes en las p\u00e1ginas de pago y exfiltrarla a un servidor remoto.<\/p>\n

\"La<\/a><\/center><\/div>\n

“El prop\u00f3sito de separar el ataque en tres partes es ocultarlo de manera que sea m\u00e1s dif\u00edcil de detectar”, explic\u00f3 Lvovsky. “Esto hace que el ataque sea m\u00e1s discreto y m\u00e1s dif\u00edcil de detectar por parte de los servicios de seguridad y herramientas de escaneo externas que puedan estar instaladas en el sitio web objetivo”.<\/p>\n

“Esto permite la activaci\u00f3n del flujo completo del ataque s\u00f3lo en las p\u00e1ginas espec\u00edficamente objetivo; es decir, debido a las medidas de ofuscaci\u00f3n utilizadas por el atacante, la activaci\u00f3n del flujo completo del ataque s\u00f3lo puede ocurrir donde el atacante pretend\u00eda que fuera ejecutar.”<\/p>\n

El uso de p\u00e1ginas de error 404 es una de las tres variaciones de la campa\u00f1a, las otras dos ofuscan el c\u00f3digo skimmer en una etiqueta de imagen HTML con formato incorrecto. atributo de error<\/a> y como un script en l\u00ednea que se hace pasar por el Metap\u00edxel<\/a> fragmento de c\u00f3digo.<\/p>\n

\"carro<\/a><\/div>\n

El c\u00f3digo falso Meta Pixel, por su parte, obtiene una imagen PNG del propio directorio del sitio web que contiene una cadena codificada en Base64 adjunta al final del archivo binario de la imagen, que, cuando se decodifica, representa un fragmento de c\u00f3digo JavaScript que se extiende a un dominio controlado por el actor para recuperar la carga \u00fatil de la segunda etapa.<\/p>\n

“Este c\u00f3digo es responsable de llevar a cabo diversas actividades maliciosas en la p\u00e1gina sensible objetivo, con el objetivo de leer los datos personales y de tarjeta de cr\u00e9dito sensibles del usuario y transmitirlos de regreso al servidor C2 del skimmer”, dijo Lvovsky.<\/p>\n

Ambas t\u00e9cnicas est\u00e1n dise\u00f1adas para eludir medidas de seguridad como el an\u00e1lisis est\u00e1tico y el escaneo externo, prolongando efectivamente la vida \u00fatil de la cadena de ataque.<\/p>\n

\"La<\/a><\/center><\/div>\n

Sin embargo, es la tercera variante del cargador la que destaca por su inusual t\u00e9cnica de ocultaci\u00f3n al aprovechar las p\u00e1ginas de error predeterminadas del sitio web. Aparece como un script en l\u00ednea o como un c\u00f3digo Meta Pixel falso, env\u00eda una solicitud GET a una URL inexistente en el sitio web, lo que activa un “404 No encontrado<\/a>” respuesta.<\/p>\n

Esta respuesta apunta a una p\u00e1gina de error modificada que oculta el c\u00f3digo del skimmer en su interior. El skimmer funciona superponiendo un formulario de pago similar en las p\u00e1ginas de pago para capturar los datos para su posterior exfiltraci\u00f3n en forma de una cadena codificada en Base64.<\/p>\n

“La idea de manipular la p\u00e1gina de error 404 predeterminada de un sitio web objetivo puede ofrecer a los actores de Magecart varias opciones creativas para mejorar el ocultamiento y la evasi\u00f3n”, dijo Lvovsky.<\/p>\n

“La solicitud a la ruta propia que conduce a la p\u00e1gina 404 es otra t\u00e9cnica de evasi\u00f3n que puede eludir los encabezados de la Pol\u00edtica de seguridad de contenido y otras medidas de seguridad que pueden estar analizando activamente las solicitudes de red en la p\u00e1gina”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n