Investigadores
de la empresa de ciberseguridad Qihoo 360’s NetLab han descubierto una campaña
activa de sustracción de datos bancarios que está robando datos de clientes de
más de 100 sitios web de comercio electrónico.
Mientras se
monitorizaba el dominio malicioso www.magento-analytics.com durante los pasados
siete meses, los investigadores descubrieron como los atacantes habían estado
inyectando código javascript malicioso en cientos de sitios web de comercio
electrónico a través de dicho dominio.
El código
javascript en cuestión se encarga de robar información de los pagos realizados
en el sitio web como son el número de tarjeta de crédito, el nombre del
titular, el código CVV y la fecha de expiración.
En una
entrevista por correo electrónico, el investigador de NetLab comenta que no disponen
de suficiente información para determinar como los atacantes infectaron los
sitios web o qué vulnerabilidades explotaron para conseguir acceso. Se confirma
únicamente que todos los sitios afectados funcionan sobre el CMS Magento.
Un
detallado análisis del script malicioso revela que la información robada se
envía a otro fichero también hospedado en el dominio magento-analytics.com,
controlado por los atacantes.
La técnica
usada por los atacantes no es nueva, es exactamente la misma que la empleada
por el grupo de hacking Magecart. Sin embargo, los investigadores de NetLab no
relacionan este caso con ninguno de los perpetrados por el grupo en cuestión.
Que aparezca
el término Magento en el nombre del dominio no significa que haya relación con
este popular software de comercio electrónico. Los atacantes más bien han
querido usar esa palabra para camuflar sus actividades y confundir a los
usuarios.
De acuerdo
con los investigadores, el dominio malicioso fue registrado en Panamá, sin
embargo durante estos meses la dirección IP ha ido cambiando de país; de
Estados Unidos a Rusia y de Rusia a China.
Dado que
los atacantes normalmente explotan vulnerabilidades conocidas para poder
introducir scripts maliciosos, se recomiendan aplicar las últimas
actualizaciones de seguridad disponibles, limitar los privilegios para sistemas
críticos y securizar los servidores web.
Más información:
- https://thehackernews.com/2019/05/magento-credit-card-hacking.html
- https://blog.netlab.360.com/ongoing-credit-card-data-leak/
Fuente:
Hispasec