Entre las webs infectadas se cuentan
sitios que están en el top 2000 de los rankings Alexa.
Grupos de cibercriminales, comúnmente
asociados con el nombre Magecart, caracterizados, entre otras cosas, por
inyectar código javascript malicioso en las plataformas de e-commerce con el
objeto de robar datos confidenciales de tarjetas de crédito, infectan más de
17.000 dominios web a través de instancias de Amazon S3 mal configuradas.
El informe, que puede consultarse
aquí, incluye no sólo análisis detallados del procedimiento de infección, sino
también métodos de mitigación o indicadores de compromiso. En él, se explica
cómo los atacantes han aplicado una estrategia donde prime el alcance frente a
la precisión. Esto es, los atacantes han optado por asegurar que su infección
llegue al mayor número de víctimas posible, en vez de seleccionar
concienzudamente los objetivos más sensibles o interesantes para sus fines.
Se trata de procedimientos similares a
las infecciones sufridas por webs como AdMaxim, CloudCMS o Picreel. Sin
embargo, los investigadores advierten que, a pesar de los esfuerzos por
monitorizar estos ataques, esta campaña, detectada a principios de abril de
2019, posee una envergadura mucho mayor de lo que predecían los informes
iniciales.
Según los investigadores, Magecart ha
dedicado una gran cantidad de tiempo a rastrear la red en busca de instancias
de Amazon S3 mal configuradas que permitan de forma pública consultar y editar
el contenido de la instancia. Una vez encontradas, añadían código javascript
malicioso al final de cada archivo javascript.
Usualmente, este código malicioso
suele inyectarse en archivos javascript relacionados directamente con la página
de pagos del sitio. Sin embargo, se han encontrado archivos js infectados, lo
que indica, como se reseñaba anteriormente, un sacrificio de la especificidad
de los objetivos en favor de un alcance mucho mayor.
Pese a que este alcance extendido lo
sea en detrimento de una mayor precisión en la selección de objetivos, los
investigadores insisten en que si los atacantes consiguen que cualquiera de las
páginas infectadas recolecte algún dato sensible, el esfuerzo de los atacantes
quedaría amortizado dado el retorno de la inversión que ganarían con los datos
obtenidos.
Adicionalmente, este nuevo ataque
involucra una manera novedosa de inyectar el código malicioso. En este caso, se
ha optado por utilizar versiones altamente ofuscadas de código javascript.
El coste de esta clase de ataques
asciende a cifras notables. Como ya contábamos en este artículo, la última
empresa afectada fue British Airways, obligada a pagar una multa de 183.000.000
de libras.
Fuente: Hispasec