Un curioso caso de actividad de robo de tarjetas basado en la web reveló que el sitio web de Poker Tracker había sido comprometido y cargó un script de Magecart, código que roba información de pago de los clientes.
Los entusiastas del póker en línea usan el paquete de software Poker Tracker para mejorar sus posibilidades de ganar al tomar decisiones basadas en estadísticas compiladas a partir del juego de los oponentes.
Carga de Magecart en la aplicación de póker
Un informe del 8 de agosto indicó que Malwarebytes anti-malware bloqueó la conexión de Poker Tracker a un dominio conocido por alojar skimmers de tarjetas de crédito, scripts que copian los detalles de la tarjeta de pago en las páginas de pago y los entregan al atacante.
Los investigadores de seguridad decidieron investigar y después de instalar y ejecutar el software notaron el mismo comportamiento: una conexión a ajaxclick [.] Com y la recuperación de un archivo JavaScript malicioso.
Una de las primeras teorías fue que la aplicación se había visto comprometida. Esto habría sido un desarrollo inusual para los skimmers web ya que su presencia se ha observado solo en sitios web.
Sin embargo, una mirada más cercana al software mostró que puede cargar y mostrar páginas web desde el subdominio de PokerTracker 'pt4.pokertracker.com'.
Ambas fuentes habían sido pirateadas e inyectadas con el código malicioso que provocaba que el software lo cargara en cada lanzamiento. Cualquier pago realizado a través de la aplicación o su sitio web copiará al atacante con los detalles del pago.
CMS desactualizado
El compromiso fue posible porque PokerTracker.com estaba ejecutando Drupal 6.3.x, una versión obsoleta que tiene vulnerabilidades de seguridad. La última versión de la plataforma es 8.6.17, disponible desde el 17 de junio.
Jérôme Segura dice que fue sorprendente ver este tipo de scripts dirigidos a Drupal, ya que el enfoque generalmente está en las plataformas de comercio electrónico, Magento en particular.
Después de decodificar el script (click.js), el proceso de exfiltración de datos quedó claro. Los datos se verifican antes de ser serializados y cifrados con una contraseña fácil de descifrar: 'love1234'. La etapa final es enviar los datos al sitio del atacante.
El investigador señala que el skimmer fue personalizado para este objetivo en particular, con nombres de variables que coinciden con los campos de entrada en el sitio web, y el segmento de datos en el código tenía PokerTracker.com codificado.
Mirando el servidor del atacante, Segura encontró múltiples skimmers, todos personalizados para cada víctima.
Los propietarios de PokerTracker han sido contactados y actuaron de inmediato para solucionar el problema.
Fecha actualización el 2021-08-21. Fecha publicación el 2019-08-21. Categoría: hackers Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer Version movil