El ataque de Magecart secuestra de manera convincente las transacciones de PayPal al finalizar la compra.

El ataque de Magecart secuestra de manera convincente las transacciones de PayPal al finalizar la compra.

El nuevo skimmer de tarjetas de crédito utiliza postMessage para hacer que los procesos maliciosos parezcan auténticos a las víctimas para robar datos de pago.

Justo a tiempo para una ajetreada temporada de compras navideñas en línea, la pandilla Magecart ha ideado una nueva técnica de robo de tarjetas de crédito para secuestrar transacciones de PayPal durante el pago.

Un investigador de seguridad que se identifica como Affable Kraut descubrió la técnica, que usa postMessage para inyectar iframes convincentes de PayPal en el proceso de pago de una compra en línea, "el primer skimmer en implementar un método de este tipo", dijo en Twitter . BleepingComputer informó por primera vez sobre su investigación.

Magecart  es un término general que abarca varios grupos de amenazas diferentes que utilizan el mismo método de ataque: comprometen los sitios web de comercio electrónico para inyectar scripts de extracción de tarjetas en las páginas de pago, robando los detalles de la tarjeta de pago de los clientes desprevenidos y otra información ingresada en los campos del página. Luego, la información se envía de vuelta a un servidor bajo el control de los atacantes.

Affable Kraut utilizó datos de Sansec , una empresa de seguridad destinada a combatir el skimming digital, para mirar bajo el capó de la nueva técnica de skimming de tarjetas. Si bien la mayoría de los métodos que intentan emular las páginas de PayPal para engañar a los usuarios para que ingresen detalles incluso cuando el proceso está siendo secuestrado no parecen muy auténticos, el que observó "pasa por mucho trabajo para intentar ser lo más convincente posible". Kraut tuiteó .

Uno de los factores clave que contribuyen a esta apariencia es el uso de un script llamado window.postMessage, que permite la comunicación de origen cruzado entre una página web y una ventana emergente que generó, o entre una página y un iframe incrustado en ella.

Por lo general, los scripts de diferentes páginas solo pueden acceder entre sí si y solo si las páginas originales comparten el mismo protocolo, número de puerto y host. PostMessage puede eludir esta restricción, y los atacantes la utilizan a su favor para transmitir la información de pago robada de una manera que parezca auténtica para el usuario, dijo el investigador.

El ataque oculta código malicioso dentro de una imagen alojada en el servidor de la tienda en línea comprometida utilizando un método de esteganografía que Affable Kraut dijo que su colega descubrió por primera vez el año pasado.

Si bien al principio el código parece similar a muchos otros skimmers en el sentido de que captura datos que el comprador ha ingresado en el formulario y los filtra, luego hace algo muy diferente a otros skimmers, dijo. Utiliza los datos extraídos para mejorar su forma de pago falsa, dijo el investigador.

El ataque hace esto rellenando previamente formularios de PayPal falsos que se mostrarán durante el proceso de pago de la víctima en lugar del legítimo, lo que aumenta la probabilidad de que la persona que realiza la compra sea víctima de la acción maliciosa.

 "Cuando la víctima ve esta página, ahora está parcialmente llena, lo que definitivamente aumenta las probabilidades de que capture todos los datos de pago", tuiteó Affable Kraut.

El skimmer incluso analiza la información antes de completar los formularios de PayPal y, si los datos no son buenos, en realidad envía un mensaje a la página del sitio de la víctima, eliminando los iframes maliciosos de la página de pago.

Sin embargo, si los datos pasan el proceso de análisis, el ataque utiliza una llamada __activatePg para rellenar previamente el formulario en la transacción maliciosa. Incluso pasará los artículos en el carrito y el total exacto de la transacción, los impuestos y los costos de envío, lo que le da aún más plausibilidad al ataque, dijo Affable Kraut.

Una vez que la víctima ingresa y envía la información de pago, el skimmer exfiltra los datos a apptegmaker [.] Com, un dominio registrado en octubre de 2020 y conectado a tawktalk [.] Com. Este último se usó en ataques anteriores del grupo Magecart . Luego, el skimmer hace clic en el botón de pedido detrás del iframe malicioso y envía a la víctima a la página de pago legítima para completar la transacción.

La temporada de compras navideñas comenzó el fin de semana pasado y es probable que sea en gran parte un asunto en línea que mantendrá ocupados a atacantes como Magecart y grupos afiliados que se centran en robar credenciales de pago. Ya se había visto a los atacantes cambiando tácticas y víctimas, así como aumentando los ataques de comercio electrónico en los últimos meses.

En septiembre, Magecart montó una de sus campañas más grandes hasta la fecha con casi 2.000 sitios de comercio electrónico pirateados en una campaña automatizada que puede estar vinculada a un exploit de día cero. Los ataques afectaron a decenas de miles de clientes a los que les robaron su tarjeta de crédito y otra información. Ese mes también se vio al grupo usando el servicio de mensajería encriptada Telegram como un canal para enviar información robada de tarjetas de crédito a sus servidores de comando y control (C2).

Luego, en octubre, un grupo derivado de Magecart llamado Fullz House group apuntó a una víctima poco probable en Boom! Mobile’s, apuntando al sitio web del revendedor de servicios inalámbricos con un ataque de comercio electrónico.

¿QUE TE PARECIÓ ESTA NOTICIA? DÉJANOS TU COMENTARIO!

No Comments

Post A Comment

× Contáctanos