Los investigadores de ciberseguridad han descubierto una campaña de skimming web a gran escala que ha estado activa desde enero de 2022, dirigida a varias redes de pago importantes, incluidas American Express, Diners Club, Discover, JCB Co., Ltd., Mastercard y UnionPay.
«Las organizaciones empresariales que son clientes de estos proveedores de pagos probablemente serán las más afectadas», dijo Silent Push en un informe publicado hoy.
Los ataques de skimming digital se refieren a una categoría de ataques del lado del cliente en los que una parte malintencionada compromete un sitio de comercio electrónico o un portal de pago legítimo e inyecta código JavaScript malicioso que puede recopilar de forma encubierta información de tarjetas de crédito y otra información personal cuando un usuario desprevenido intenta realizar un pago en una página de pago.
Estos ataques se incluyen en un término general llamado Magecart. Esto se refiere a una coalición de grupos de delitos cibernéticos que inicialmente utilizaron el software Magento para atacar sitios de comercio electrónico y luego se diversificaron hacia otros productos y plataformas.
Silent Push dijo que descubrió la campaña después de analizar dominios sospechosos asociados con el proveedor de alojamiento Bulletproof actualmente sancionado Stark Industries (y su empresa matriz PQ.Hosting). Desde entonces, Stark Industries (y su empresa matriz PQ.Hosting) ha cambiado su nombre a THE(.)Hosting, que está controlada por la empresa holandesa WorkTitans BV, una medida para evitar sanciones.
Se ha descubierto que el dominio en cuestión, cdn-cookie(.)com, alberga cargas útiles de JavaScript altamente ofuscadas (por ejemplo, «recorder.js» o «tab-gtm.js») que cargan las tiendas web para facilitar el robo de tarjetas de crédito.
Los skimmers tienen la capacidad de evadir la detección por parte de los administradores del sitio. Específicamente, busca en el árbol del Modelo de objetos de documento (DOM) un elemento llamado «wpadminbar». Esta es una referencia a la barra de herramientas que aparece en un sitio web de WordPress cuando un administrador o usuario conectado con los permisos adecuados está viendo el sitio web de WordPress.
Si el elemento «wpadminbar» está presente, el skimmer inicia una secuencia de autodestrucción y elimina su presencia de la página web. El skimmer intenta ejecutarse cada vez que cambia el DOM de la página web. Este es un comportamiento estándar que ocurre cuando un usuario interactúa con una página.
Eso no es todo. El skimmer también comprueba si se ha seleccionado Stripe como opción de pago. Si se selecciona, existe un elemento llamado «wc_cart_hash» en el almacenamiento local del navegador. Cree este elemento y configúrelo en «verdadero» para indicar que la víctima ya ha sido examinada con éxito.
Sin esta bandera, los skimmers generan un formulario de pago Stripe falso que reemplaza el formulario legítimo mediante la manipulación de la interfaz de usuario, engañando a las víctimas para que ingresen su número de tarjeta de crédito, fecha de vencimiento y número de código de verificación de tarjeta (CVC).
«Debido a que la víctima ingresó la información de su tarjeta de crédito en el formulario falso en lugar del formulario de pago real de Stripe, la página de pago muestra un error porque el skimmer la ocultó cuando se ingresó por primera vez», dijo Silent Push. «Esto hace que parezca como si la víctima simplemente hubiera ingresado su información de pago incorrectamente».
Los datos robados por los skimmers van más allá de los detalles de pago, incluidos nombres, números de teléfono, direcciones de correo electrónico y direcciones de envío. En última instancia, la información se extrae mediante una solicitud HTTP POST al servidor «lasorie(.)com».
Una vez que se completa el envío de datos, el skimmer borra sus rastros de la página de pago, elimina el formulario de pago falso creado y restaura el formulario de entrada legítimo de Stripe. Luego establece «wc_cart_hash» en «true» para evitar que el skimmer vuelva a ejecutarse contra la misma víctima.
«Este atacante tiene conocimientos avanzados de los aspectos internos de WordPress y ha incorporado características aún menos conocidas en su cadena de ataque», dijo Silent Push.
Source link
