Esta semana la empresa Voletix junto a
RiskIQ han publicado una investigación que tiene como protagonistas al grupo de
ciberdelincuentes Magecart. Esta vez la víctima ha sido la empresa minorista de
ordenadores y productos electrónicos de consumo Newegg.
Magecart es un grupo de
ciberdelicuentes especializado en el robo de credenciales de pago mediante el
uso de “skimmers digitales”. Entre los ataques que se le han atribuido están el
robo de credenciales de pago en Ticketmaster, British Airways y el caso
reciente de Newegg.
Este ataque ha sido prácticamente
igual que el publicado un par de semanas atrás y que afectaba a la aerolínea
británica British Airways. De hecho, teniendo en cuenta la fecha de realización
del ataque y no la de publicación, este ataque ha sido anterior.
En resumen, el proceso es el
siguiente:
- Los atacantes logran acceder al
servidor donde se hospeda el código que interpreta la web de la víctima, a
través de cualquier vector.
- El atacante introduce un código
Javascript fraudulento que, paralelamente al proceso de compra, envía los
credenciales del usuario a un servidor controlado por los atacantes.
- El ataque persiste mientras el
código no es detectado.
La detección puede llevarse a cabo
bien por alguien externo, por la propia empresa afectada o bien por parte de
las entidades bancarias. Estas últimas, debido a las denuncias de sus clientes
que reclaman cargos no autorizados, alertan a la víctima.
Las entidades bancarias están más que
acostumbradas a detectar patrones que identifiquen un 'skimmer' como foco del
robo de información de credenciales bancarios. La cadena de hechos es sencilla:
reciben quejas de sus usuarios por cargos no autorizados, buscan un patrón
común entre ellos, y ya tienen la fuente, en este caso todos compraron
previamente en Newegg.
Durante muchos años ha sido bastante
común, y lo sigue siendo, la colocación de TPVs fraudulentos que roban las
tarjetas que transaccionan con él. Estas nuevas técnicas solo tienen una
diferencia: no existe ningún elemento hardware, en vez de ir a un TPV físico,
los atacantes manipulan TPVs virtuales.
Particularidades
del caso.
Lo primero que vamos a contar es el
punto donde se ha introducido el código fraudulento, en este caso ha sido en el
servidor secure.newegg.com.
Lo verdaderamente sorprendente esta
vez ha sido como los atacantes han intentado disfrazar el ataque para
permanecer el mayor tiempo en la sombra. Para ello el 13 de agosto los
atacantes registraron el dominio neweggstats.com, un dominio que pretendía
disfrazar las conexiones para parecer ser legítimo y al cuál enviaban la
información robada. Además le compraron un certificado SSL para cifrar el
tráfico y darle aún mayor sobriedad a la infraestructura fraudulenta.
Todo esto les permitió permanecer más de un mes sin
levantar sospechas, con el siguiente código cargado en la url https://secure.newegg.com/GlobalShopping/CheckoutStep2.aspx
Cabe mencionar que en el caso de
British Airways se usó el eslogan, con claros tintes ‘clikbaits’, de que tan
solo 22 líneas de código habían sido necesarias para llevar a cabo el ataque.
Este caso de Newegg es aún más 'flagrante' ya han sido únicamente 15 las líneas
necesarias para el llevar a cabo el ataque. Así que podíamos apostar por un
eslogan bastante más divertido, a mi manera de ver, que podría ser el
siguiente: “Los Hackers que forman parten de Newegg han necesitado 7 lineas
menos para perpetrar su ataque que en el caso de British Airways”, una tontuna
enorme, ya no solo por el hecho de que el código es Javascript y hablamos de
líneas, no de sentencias, sino, porque reducir este tipo de ataques a la orden
que hace el envío de datos es evidenciar un completo desconocimiento sobre todo
lo que conlleva ataques de este calado.
Más información:
·
Reporte
de Volexity: https://www.volexity.com/blog/2018/09/19/magecart-strikes-again-newegg
·
Reporte
de RiskIQ: https://www.riskiq.com/blog/labs/magecart-newegg/
Fuente:
Hispasec