skimming

All posts tagged skimming

mobile_payment_transaction_money_transfer_thinkstock_847164462-100749266-large.jpg

La campaña automatizada de Magecart afecta a más de 960 tiendas en línea

Hoy en día, la empresa de investigación de seguridad Magento Sanguine Security descubrió una campaña de limpieza de tarjetas de pago a gran escala que rompió exitosamente 962 tiendas de comercio electrónico.

La campaña parece estar automatizada de acuerdo con el investigador de Sanguine Security, Willem de Groot, quien le dijo a BleepingComputer que el script de raspado (data skimming) de la tarjeta se agregó dentro de un plazo de 24 horas. «Sería casi imposible violar más de 960 tiendas manualmente en tan poco tiempo«, agregó.

Si bien Sanguine Security no comparte la información sobre cómo funcionarán los ataques automatizados de Magecart contra los sitios web de comercio electrónico, el procedimiento probablemente implicaría buscar y explotar fallas de seguridad en la plataforma de software de las tiendas.

«Aún no he recibido la confirmación, pero parece que a varias víctimas les faltaban parches contra las vulnerabilidades de inyección de objetos PHP», también dijo de Groot.

Si bien los detalles sobre cómo se violaron las tiendas en línea aún son escasos, dado que los registros aún se están analizando, el script de skimmer de datos de pago basado en JavaScript fue descifrado y cargado por la compañía de seguridad a GitHub Gist.

Como se muestra en su código fuente, los atacantes usaron el skimmer para recopilar la información de pago de los clientes de comercio electrónico en las tiendas violadas, incluidos los datos completos de la tarjeta de crédito, nombres, teléfonos y direcciones.

De todas las tiendas infectadas repartidas por todo el mundo, «la mayoría de las víctimas son pequeñas, pero hay una serie de tiendas empresariales entre ellas», como lo detalla De Groot.

Como el jefe de investigaciones de amenazas de RiskIQ, Yonathan Klijnsma, le dijo a BleepingComputer después de que se publicó esta historia, el grupo detrás de esta campaña es Magecart Group 7, un equipo que se sabe que ha utilizado «ataques automatizados para errores conocidos» en ataques anteriores.

Además, como se explica en el informe «Inside Magecart» de RiskIQ, el Grupo 7 «no tiene un modus operandi bien definido que no sea para comprometer cualquier sitio de comercio electrónico que pueda encontrar» y «no va para sitios web de primer nivel, pero no se aleja de los grandes sitios de nivel medio «

Además, al igual que en el caso de estos ataques, este grupo de Magecart «no usa servidores, agregando la etiqueta de script directamente en el sitio web, por lo que una víctima normalmente se encuentra con este skimmer como un pequeño fragmento de script en su sitio web».

Otro investigador de seguridad, Micham, descubrió otro ataque de Magecart, quien detectó la inyección de un skimmer malicioso en el sitio de The Guardian a través del antiguo depósito de AWS S3 y el uso de wix-cloud [.] Com como puerta de skimmer.

Jérôme Segura, de Malwarebytes, dijo ayer que esto era parte de una campaña de Magecart que abusa del CDN de Amazon CloudFront descubierto en junio , con «una serie de compromisos en Amazon CloudFront, una red de distribución de contenido (CDN), donde las bibliotecas de JavaScript alojadas fueron manipuladas e inyectadas. skimmers web. «

Los grupos de magecart están diversificando sus ataques.

Los grupos de Magecart están pirateando equipos que han estado activos desde alrededor de 2015 y representan una amenaza continua para lanzar ataques contra compañías internacionales como British Airways , Ticketmaster , OXO y Newegg , y negocios de menor tamaño como MyPillow y Amerisleep .

Las campañas de Magecart diseñadas para robar datos de tarjetas de pago de los clientes de las tiendas en línea están tan activas como siempre, y su actividad rara vez muestra mínimos.

Klijnsma también dijo en un informe que detallaba la expansión de la actividad de Magecart a las tiendas motorizadas de OSCommerce y OpenCart que «por cada ataque de Magecart que aparece en los titulares, detectamos miles más que no revelamos. Una parte considerable de estas infracciones menos conocidas implica una tercera parte«.

«Actualmente se están centrando en los datos de pago, pero ya estamos viendo movimientos para deslizar las credenciales de inicio de sesión y otra información confidencial. Esto amplía el alcance de las posibles víctimas de Magecart más allá del comercio electrónico solo«, explicó Klijnsma en una declaración/análisis en profundidad de una operación a gran escala contra las tiendas en línea OpenCart .

Como prueba adicional de esto, la firma de inteligencia sobre amenazas Group-IB encontró 2.440 tiendas comprometidas a principios de abril que se infectaron con analizadores de datos de pago por parte de varios grupos de Magecart.


A fines de abril, Segura también descubrió que cientos de tiendas Magento fueron inyectadas activamente con scripts de skimmer alojados en GitHub, mientras que los atacantes también infectaron la tienda en línea del equipo de baloncesto Atlanta Hawks de la NBA al ser descubierta por De Groot .

A principios de mayo, otro grupo de Magecart desarrolló un guión de skimmer Magecart polimorfo que ofrecía soporte para un número impresionante de 57 pasarelas de pago de todo el mundo que se pueden inyectar en casi cualquier página de compra de cualquier tienda en línea para raspar la tarjeta de crédito de los clientes e información personal sin necesidad de personalización.

También en mayo, TrendMicro descubrió que las páginas de pago de cientos de tiendas de campus impulsadas por PrismWeb de EE. UU. Y Canadá fueron violadas y comprometidas por un grupo de Magecart llamado Mirrorthief.

Artículo originalmente publicado en https://www.bleepingcomputer.com/news/security/automated-magecart-campaign-hits-over-960-breached-stores/

leer más
Isaul CarballarLa campaña automatizada de Magecart afecta a más de 960 tiendas en línea
Magecart-Blog-Header.jpg

Ataque de Magecart: qué es, cómo funciona y cómo evitarlo

Aprende cómo combatir este ataque de skimming de cartas basado en web.

Todos los días escuchamos sobre una nueva amenaza o vulnerabilidad en la tecnología, y el ataque de recolección de datos conocido como «Magecart» es la última amenaza. El siguiente texto es una transcripción de un entrevista entre Scott Matteson, escritor técnico de Techrepublic y Peter Blum, vicepresidente de tecnología del proveedor de entrega de aplicaciones Instart.

¿Qué es un ataque de Magecart?

Peter Blum: Magecart es una forma de raspado de datos (data skimming), que ataca con el uso del navegador del lado del cliente como la puerta de entrada a las interacciones del consumidor. «Skimming» es un método utilizado por los atacantes para capturar información confidencial de formularios de pago en línea, como direcciones de correo electrónico, contraseñas y números de tarjetas de crédito. Específicamente para Magecart, los piratas informáticos implantan códigos maliciosos en sitios web para robar información de tarjetas de crédito a medida que las personas ingresan las credenciales en la página de pago.

¿Cómo funciona el ataque Magecart?

Stealing a credit card through a laptop concept for computer hacker, network security and electronic banking security (Stealing a credit card through a laptop concept for computer hacker, network security and electronic banking security, ASCII, 118 co

los ataques de eliminación de datos como Magecart generalmente siguen un patrón bien establecido. Deben lograr tres cosas para tener éxito.

  • Paso 1: Acceso a su sitio web. Por lo general, hay dos formas en que los atacantes obtienen acceso a su sitio web y colocan el código de skimming. Pueden entrar en su infraestructura o en su servidor y colocar el skimmer allí. O, perseguirán a uno de sus proveedores externos, especialmente si son un objetivo más fácil e infectan una etiqueta de terceros que ejecutará un script malicioso en su sitio cuando se llame en el navegador.
  • Paso 2: Inspección superficial de información en un formulario. Hay muchas maneras diferentes en que los grupos pueden capturar datos, pero el código de limpieza es siempre una especie de JavaScript que escucha la información personal y la recopila. Hemos visto un enfoque en el que monitorean todas las pulsaciones de teclas en una página confidencial o algunas que interceptan entradas en partes específicas de un formulario web como los campos de tarjeta de crédito y CVV. En general, los atacantes esconden código malicioso dentro de otro código que parece benigno para evitar la detección.
  • Paso 3: Envío de información a su servidor. Esta es la parte más simple de todo el proceso. Una vez que los piratas informáticos obtienen acceso a su sitio web y raspan los datos que desean, se termina el juego. Pueden enviar la información de los navegadores de los usuarios finales a casi cualquier ubicación en Internet.

¿Quién está detrás de Magecart?

Magecart es el nombre que recibe esta categoría de ataques, no es una organización o entidad específica. Hay docenas de diferentes grupos criminales cibernéticos que utilizan este estilo de ataque. En el último año se produjeron ataques de alto perfil contra compañías como British Airways, Ticketmaster y NewEgg.

¿Qué vulnerabilidades / entornos se aprovechan?

Hoy en día, no es raro que un solo sitio web esté formado por un código creado y operado por hasta 50 compañías diferentes. El código que se desarrolla internamente y se ejecuta en su propio sitio web se llama código de primera persona. El código que proviene de otras compañías se llama código de tercero, cuarto o incluso de terceros.

Muchos clientes no saben que cuando integras código de otras compañías, en realidad tiene el mismo nivel de privilegio que tu propio código. Eso significa que este código externo puede mostrar mensajes a sus usuarios, eliminar datos confidenciales ingresados ​​por los usuarios o almacenados en cookies, o incluso redirigir al usuario a otro sitio.

En Instart , estamos viendo más y más sitios web en los que hasta el 75% de las llamadas realizadas por el navegador provienen de fuentes distintas a su compañía. Entonces, ¿cómo sabe realmente lo que sucede cuando los sitios web se basan en el código de 50 servicios en la nube diferentes, alojados en 50 organizaciones diferentes? Esta es la trampa en la que han caído muchos minoristas, y los atacantes de Magecart se aprovechan. Una vulnerabilidad en cualquier parte es una vulnerabilidad en todas partes.

La buena noticia es que puede proteger información confidencial. La clave es que todo este código solo se une cuando se ensambla en el navegador del consumidor. Por lo tanto, debe implementar una tecnología que pueda monitorear y proteger datos confidenciales en tiempo real en el navegador.

¿Qué deben hacer los departamentos de TI para combatir Magecart?

El problema con Magecart es que hay mucha confusión cuando se trata de proteger realmente estos ataques de raspado de tarjetas basados ​​en web. Por ejemplo, la auditoría de un sitio web sobre una base regular no se pueden detener los ataques, ya que el problema proviene de etiquetas de terceros que la auditoría no detectará.

Mi consejo para los equipos de TI es que adopten un enfoque de cero confianza con JavaScript en sus sitios, comenzando con una política para bloquear el acceso de forma predeterminada a cualquier información confidencial ingresada en formularios web y cookies almacenadas. A partir de ahí, solo permite un conjunto selecto de scripts vetados (generalmente solo los suyos) para acceder a datos confidenciales. Y como resultado, si este tipo de código de skimming llega a su sitio, simplemente no puede acceder a ninguna de la información confidencial.

Desafortunadamente, los navegadores web no proporcionan este tipo de funcionalidad, por lo que los equipos de TI deben implementar sus propios enfoques de protección o incorporar tecnología de proveedores externos que se especialicen en la protección contra este tipo de ataques.

¿Qué deben hacer los usuarios finales para hacer frente a esta amenaza?

Muchos consumidores confían en las tiendas en línea y en los sitios donde compran. Es mejor evitar los sitios web más pequeños que probablemente no tengan el mismo nivel de seguridad que las organizaciones más grandes y establecidas. Los usuarios finales deben asegurarse de mantener un registro de los cargos a sus tarjetas de crédito. Muchas veces se realizarán pequeños cargos de prueba para garantizar que el número de la tarjeta de crédito aún esté activo ante un fraude más generalizado. Los usuarios finales también deben considerar el uso de sistemas de pago como Apple Pay, que generan números únicos de cada transacción, lo que garantiza que, si los atacantes obtienen un número, no podrán reutilizarlo en el futuro. Y, finalmente, estos días los sistemas de supervisión de crédito se han convertido en una necesidad para garantizar que los datos personales no se aprovechen para abrir nuevas cuentas a su nombre.

¿Cómo es probable que esta amenaza evolucione?

Hemos visto incluso en el último año que este tipo de ataque se ha vuelto más común y evoluciona a un ritmo alarmante. Si bien los enfoques iniciales eran más fáciles de detectar, los delincuentes cibernéticos ahora ocultan su código malicioso a través de la codificación y la ofuscación en el interior de un código inofensivo, lo que hace que sea casi imposible revelar estos ataques mirando el código de terceros. Y ahora vemos que los piratas informáticos codifican la información robada antes de que se envíe desde el navegador para evadir los sistemas de detección de patrones que buscan números de tarjetas de crédito. El mejor enfoque es tomar un modelo de confianza cero y solo permitir que un código vetado muy específico acceda a información confidencial.

¿Cuáles son algunos pasos proactivos recomendados para administrar los ataques de Magecart en evolución?

La mejor defensa contra los ataques de Magecart es impedir el acceso. Las compañías en línea necesitan una solución que intercepte todas las llamadas API que su sitio web realiza al navegador y bloquea el acceso a datos confidenciales que no haya autorizado previamente. Esto evita que cualquier script malicioso, o cualquier script de terceros no crítico, obtenga acceso a la información que sus clientes ingresan en su sitio web. Este mismo sistema también debe tener un componente de monitoreo para alertar a las compañías cuando un tercero intente acceder a información confidencial.

Seguimos viendo un gran aumento en los ataques contra sitios web que toman y procesan información de pago de los usuarios finales. No solo estamos viendo ataques al estilo de Magecart como este robo de información directamente de los usuarios finales, sino también ataques sofisticados de bots que aprovechan las credenciales de usuario robadas y los números de tarjetas de crédito para cometer fraude al usar datos encontrados en otros sitios.

Es fundamental que las marcas piensen más allá e implementen una protección de seguridad web de extremo a extremo que pueda mitigar los ataques de Magecart en el navegador y proteger la infraestructura de back-end, al mismo tiempo que detiene los ataques sofisticados de redes de bots. Con el aumento masivo de servicios de terceros que se están utilizando, también vemos a terceros legítimos que capturan accidentalmente información confidencial de los usuarios, lo que puede exponer a las empresas a incumplir las regulaciones de la industria y del gobierno, incluidas PCI, HIPPA, GDPR y CCPA.

La entrevista original está disponible en el siguiente link.

leer más
Isaul CarballarAtaque de Magecart: qué es, cómo funciona y cómo evitarlo