Cientos de sitios de comercio electrónico infectados con el código skimmer malicioso que roba la tarjeta de pago del cliente de las páginas de pago.
El código malicioso se encuentra insertado con una cantidad de sitios web de comercio electrónico que brindan diversos servicios, como venta de boletos, viajes, servicios de reserva de vuelos y sitios de carrito de compras.
Según el informe de análisis de TrendMicro , se detectaron 277 sitios de comercio electrónico inyectados con los códigos maliciosos de skimming. Con un análisis adicional, los investigadores observaron que los sitios web de comercio electrónico están comprometidos directamente.
Los códigos de skimming se inyectan a través de la biblioteca de JavaScript de terceros proporcionada por la compañía francesa de publicidad en línea Adverline. Esto permite que el sitio web que está incrustado con bibliotecas de terceros cargue el código de skimming.
"A diferencia de otros grupos de skimmer en línea que comprometen directamente las plataformas de carro de la compra de su objetivo, los Grupos 5 y 12 de Magecart atacan los servicios de terceros utilizados por los sitios web de comercio electrónico mediante la inyección de código skimming en las bibliotecas de JavaScript que proporcionan".
El script skimmer insertado es capaz de leer la información de pago ingresada en las páginas de pago por los usuarios y enviar los datos al servidor del atacante.
Con el caso de Adverline Magecart Group 12 integrado, el kit de herramientas de skimming emplea dos scripts ofuscados, el primer script capaz de ingeniería inversa y el segundo es el skimmer.
El primer script comprueba constantemente la consola del depurador del navegador y limpia los mensajes para impedir la detección y el análisis. La segunda secuencia de comandos comprueba las páginas que contienen las siguientes cadenas, como "pago y envío", "facturación" y "compra".
Si el script encuentra alguna de las cadenas seleccionadas, el script se ejecutará y realizará la actividad de skimming. Los datos de pago capturados, incluidos el número aleatorio y el dominio del sitio web de comercio electrónico, se envían a través de una solicitud HTTP posterior con codificación Base64.
De acuerdo con el análisis de RiskIQ, el Grupo 12 construyó su propia infraestructura en septiembre de 2018 y el grupo no inyectará la URL con una etiqueta de script, sino que utiliza un pequeño fragmento de código con una URL codificada en base64.
Fecha actualización el 2021-01-18. Fecha publicación el 2019-01-18. Categoría: hackers Autor: Oscar olg Mapa del sitio Fuente: gbhackers