Imagen: Steven Puetzer/Getty Images
Los ataques de Magecart están disminuyendo en número, pero se están volviendo más sigilosos, y los investigadores destacan posibles puntos ciegos del lado del servidor al rastrearlos.
No es muy frecuente que oigas hablar de ataques de Magecart. En los últimos años, los incidentes de ciberseguridad que aparecieron en los titulares tendieron a involucrar ataques a utilidades centrales y servicios críticos, campañas patrocinadas por el estado, ransomware, violaciones masivas de datos e interrupciones en una escala más amplia que los problemas que las víctimas de Magecart suelen experimentar hoy en día.
Sin embargo, esto no significa que el problema haya desaparecido, y no debemos olvidar que no sólo las PYMES están en riesgo: grandes marcas han sido víctimas de este tipo de ciberataques en el pasado, incluidas British Airways, Newegg y Ticketmaster. .
VER: Ataques de ransomware: estos son los datos que los ciberdelincuentes realmente quieren robar
Magecart describe los ciberataques que se centran en las capacidades de comercio electrónico de un sitio web. También conocidos como ataques de skimming de tarjetas, los actores de amenazas a menudo explotan una vulnerabilidad en el sistema de gestión de contenidos backend de un sitio web o dependencias de terceros e implantan de forma encubierta código JavaScript malicioso.
Este código, incrustado en la sección de pago de un sitio web, recopilará los datos de la tarjeta ingresados por un cliente y los enviará a un servidor controlado por un atacante.
El 20 de junio, el investigador de Malwarebytes, Jérôme Segura, dijo en una publicación de blog que, si bien las tasas de ataque de Magecart parecen haber disminuido, informes recientes sugieren que el mercado de información de tarjetas de crédito robadas todavía se considera rentable, y una nueva campaña ha demostrado que algunas operaciones todavía operan de manera similar. “Infraestructura bastante amplia”.
A Informe Sansec publicado el 9 de junio reveló un nuevo dominio skimmer. El 12 de junio, otro investigador tuiteó sobre un host, sospechoso de ser malicioso, y su conexión con una tienda de comercio electrónico pirateada. esto fue entonces confirmado por otro investigador.
Malwarebytes investigó los informes y, basándose en el mismo número de sistema autónomo utilizado en ambos casos, los dominios se conectaron a una campaña más grande.
Los investigadores de ciberseguridad revisaron sus registros y vincularon la reciente actividad de Magecart con una campaña de 2021, en la que se alojaba un skimmer que podía detectar el uso de máquinas virtuales (VM).
Si bien el motivo no está claro, el código VM se eliminó del skimmer. Además, el nuevo malware tiene diferentes esquemas de nombres. Sin embargo, había suficientes pistas para señalar a Malwarebytes hacia una variedad de URL, algunas de las cuales eran maliciosas.
Se sospecha que la actividad de esta nueva campaña se remonta al menos a mayo de 2020.
VER: Por qué es importante la seguridad en la nube y por qué no puedes ignorarla
Sin embargo, un desafío al rastrear la trayectoria actual de los ataques de Magecart es la disparidad constante entre la falta de visibilidad del lado del servidor y herramientas de escaneo más transparentes del lado del cliente.
“Si los actores de amenazas de Magecart decidieran cambiar sus operaciones exclusivamente del lado del servidor, entonces la mayoría de las empresas, incluida la nuestra, perderían visibilidad de la noche a la mañana”, comentó Segura. “Es por eso que a menudo admiramos a los investigadores que trabajan en la limpieza de sitios web. Si algo sucede, estos tipos probablemente lo notarán. Por ahora, podemos decir que los ataques del lado del cliente de Magecart todavía existen y que fácilmente podríamos pasarlos por alto. si confiamos en rastreadores y entornos sandbox automatizados, al menos si no los hacemos más robustos”.
El año pasado, Cloudflare lanzó una oferta de ciberseguridad diseñada para abordar ataques estilo Magecart. Page Shield de Cloudflare, una solución del lado del cliente, ahora cuenta con Script Monitor, que verifica las dependencias de JavaScript de terceros y registra cualquier cambio realizado en el código a lo largo del tiempo. Esto puede alertar a las organizaciones sobre cualquier adición maliciosa agregada a sus servicios de comercio electrónico.
Cobertura anterior y relacionada
¿Tienes algún consejo? Ponte en contacto de forma segura a través de WhatsApp | Señale al +447713 025 499, o en Keybase: charlie0