Hoy en día, la empresa de investigación de seguridad Magento Sanguine Security descubrió una campaña de limpieza de tarjetas de pago a gran escala que rompió exitosamente 962 tiendas de comercio electrónico.
La campaña parece estar automatizada de acuerdo con el investigador de Sanguine Security, Willem de Groot, quien le dijo a BleepingComputer que el script de raspado (data skimming) de la tarjeta se agregó dentro de un plazo de 24 horas. «Sería casi imposible violar más de 960 tiendas manualmente en tan poco tiempo«, agregó.
Si bien Sanguine Security no comparte la información sobre cómo funcionarán los ataques automatizados de Magecart contra los sitios web de comercio electrónico, el procedimiento probablemente implicaría buscar y explotar fallas de seguridad en la plataforma de software de las tiendas.
«Aún no he recibido la confirmación, pero parece que a varias víctimas les faltaban parches contra las vulnerabilidades de inyección de objetos PHP», también dijo de Groot.
Si bien los detalles sobre cómo se violaron las tiendas en línea aún son escasos, dado que los registros aún se están analizando, el script de skimmer de datos de pago basado en JavaScript fue descifrado y cargado por la compañía de seguridad a GitHub Gist.
Como se muestra en su código fuente, los atacantes usaron el skimmer para recopilar la información de pago de los clientes de comercio electrónico en las tiendas violadas, incluidos los datos completos de la tarjeta de crédito, nombres, teléfonos y direcciones.
De todas las tiendas infectadas repartidas por todo el mundo, «la mayoría de las víctimas son pequeñas, pero hay una serie de tiendas empresariales entre ellas», como lo detalla De Groot.
Como el jefe de investigaciones de amenazas de RiskIQ, Yonathan Klijnsma, le dijo a BleepingComputer después de que se publicó esta historia, el grupo detrás de esta campaña es Magecart Group 7, un equipo que se sabe que ha utilizado «ataques automatizados para errores conocidos» en ataques anteriores.
Además, como se explica en el informe «Inside Magecart» de RiskIQ, el Grupo 7 «no tiene un modus operandi bien definido que no sea para comprometer cualquier sitio de comercio electrónico que pueda encontrar» y «no va para sitios web de primer nivel, pero no se aleja de los grandes sitios de nivel medio «
Además, al igual que en el caso de estos ataques, este grupo de Magecart «no usa servidores, agregando la etiqueta de script directamente en el sitio web, por lo que una víctima normalmente se encuentra con este skimmer como un pequeño fragmento de script en su sitio web».
Otro investigador de seguridad, Micham, descubrió otro ataque de Magecart, quien detectó la inyección de un skimmer malicioso en el sitio de The Guardian a través del antiguo depósito de AWS S3 y el uso de wix-cloud [.] Com como puerta de skimmer.
Jérôme Segura, de Malwarebytes, dijo ayer que esto era parte de una campaña de Magecart que abusa del CDN de Amazon CloudFront descubierto en junio , con «una serie de compromisos en Amazon CloudFront, una red de distribución de contenido (CDN), donde las bibliotecas de JavaScript alojadas fueron manipuladas e inyectadas. skimmers web. «
Los grupos de magecart están diversificando sus ataques.
Los grupos de Magecart están pirateando equipos que han estado activos desde alrededor de 2015 y representan una amenaza continua para lanzar ataques contra compañías internacionales como British Airways , Ticketmaster , OXO y Newegg , y negocios de menor tamaño como MyPillow y Amerisleep .
Las campañas de Magecart diseñadas para robar datos de tarjetas de pago de los clientes de las tiendas en línea están tan activas como siempre, y su actividad rara vez muestra mínimos.
Klijnsma también dijo en un informe que detallaba la expansión de la actividad de Magecart a las tiendas motorizadas de OSCommerce y OpenCart que «por cada ataque de Magecart que aparece en los titulares, detectamos miles más que no revelamos. Una parte considerable de estas infracciones menos conocidas implica una tercera parte«.
«Actualmente se están centrando en los datos de pago, pero ya estamos viendo movimientos para deslizar las credenciales de inicio de sesión y otra información confidencial. Esto amplía el alcance de las posibles víctimas de Magecart más allá del comercio electrónico solo«, explicó Klijnsma en una declaración/análisis en profundidad de una operación a gran escala contra las tiendas en línea OpenCart .
Como prueba adicional de esto, la firma de inteligencia sobre amenazas Group-IB encontró 2.440 tiendas comprometidas a principios de abril que se infectaron con analizadores de datos de pago por parte de varios grupos de Magecart.
A fines de abril, Segura también descubrió que cientos de tiendas Magento fueron inyectadas activamente con scripts de skimmer alojados en GitHub, mientras que los atacantes también infectaron la tienda en línea del equipo de baloncesto Atlanta Hawks de la NBA al ser descubierta por De Groot .
A principios de mayo, otro grupo de Magecart desarrolló un guión de skimmer Magecart polimorfo que ofrecía soporte para un número impresionante de 57 pasarelas de pago de todo el mundo que se pueden inyectar en casi cualquier página de compra de cualquier tienda en línea para raspar la tarjeta de crédito de los clientes e información personal sin necesidad de personalización.
También en mayo, TrendMicro descubrió que las páginas de pago de cientos de tiendas de campus impulsadas por PrismWeb de EE. UU. Y Canadá fueron violadas y comprometidas por un grupo de Magecart llamado Mirrorthief.
Artículo originalmente publicado en https://www.bleepingcomputer.com/news/security/automated-magecart-campaign-hits-over-960-breached-stores/