El sitio web del Salón Nacional de la Fama del Béisbol en Cooperstown, Nueva York, fue pirateado para incluir un script malicioso de MageCart que robó la información de pago de los clientes que compraron artículos en el sitio.
Según una notificación presentada al servicio de notificación de violación de seguridad de California, el sitio web del Salón Nacional de la Fama del Béisbol recibió una secuencia de comandos maliciosa en su tienda en línea entre el 15 de noviembre de 2018 y el 14 de mayo de 2019.
"El Salón Nacional de la Fama del Béisbol (" Salón de la Fama ") valora y respeta la privacidad de su información, por eso le escribimos para informarle de un incidente reciente que puede haber involucrado parte de su información personal", alertó la notificación usuarios afectados "El 18 de junio de 2019, supimos que parte de su información podría haber sido obtenida por un tercero no autorizado que colocó un código informático malicioso en el sistema de comercio electrónico de la tienda web del salón de la fama (shop.baseballhall.org). El código puede haber dirigido cierta información personal de clientes que realizaron una compra con tarjeta de crédito a través de la tienda web entre el 15 de noviembre de 2018 y el 14 de mayo de 2019 ".
La información que podría haber sido robada incluye el nombre, la dirección y la información de la tarjeta de crédito o débito del cliente, incluido el código CVV.
Cabe señalar que este ataque solo afectó a los clientes que compraron artículos del sitio web y no en el museo en sí.
Si compró algo en el sitio web del Salón Nacional de la Fama del Béisbol ubicado en https://baseballhall.org/, debe informar la situación a su compañía de tarjeta de crédito y controlar su estado de cuenta por compras fraudulentas.
Información de pago robada por un ataque de MageCart
Los atacantes obtuvieron acceso al sitio web del Salón de la Fama e inyectaron un script malicioso en el sitio que supervisaría la información de pago enviada y luego la enviaría a los atacantes.
Si bien el script ya no está activo en el sitio web, BleepingComputer pudo localizar el código en una instantánea en Archive.org .
Como puede ver en la imagen a continuación, los atacantes insertaron lo que a primera vista parece ser un script de Google Analytics. Sin embargo, si observa más de cerca, el script asociado se está leyendo desde www.googletagstorage.com.
Si bien el dominio indica que pertenece a Google, www.googletagstorage.com en realidad no está registrado para ellos y se resuelve en una dirección IP ubicada en Lituania. Este mismo host también se ha visto utilizado en otros ataques en el pasado como lo muestran los COI en AlienVault y Xforce Exchange de IBM .
El script está diseñado para parecerse a un script legítimo de Google Analytics, pero si lo analiza, puede ver que está monitoreando el formulario de facturación de la tienda que tiene un ID de "formulario de co-facturación".
Si bien no hay confirmación de que este sea el mismo grupo, los métodos utilizados en este ataque son similares al MageCart Group 4 que se describió previamente en un informe de RiskIQ
Fecha actualización el 2021-08-08. Fecha publicación el 2019-08-08. Categoría: hackers Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer Version movil