El objetivo es robar información financiera de los usuarios
Grupos de ciberdelincuencia están distribuyendo shells web PHP maliciosos disfrazados de favicon para mantener el acceso remoto a los servidores comprometidos e inyectar skimmers de JavaScript en las plataformas de compras en línea con el objetivo de robar información financiera de sus usuarios.
"Estos shells web conocidos como Smilodon o Megalodon se utilizan para cargar dinámicamente código de skimming de JavaScript a través de solicitudes del lado del servidor en las tiendas en línea", dijo Jérôme Segura de Malwarebytes en un artículo publicado el jueves. "Esta técnica es interesante ya que la mayoría de las herramientas de seguridad del lado del cliente no podrán detectar o bloquear el skimmer".
Inyectar skimmers web en sitios de comercio electrónico para robar detalles de tarjetas de crédito es un modus operandi probado y comprobado de Magecart, un consorcio de diferentes grupos de piratas informáticos que se dirigen a los sistemas de carritos de compras en línea.
También conocidos como ataques de formjacking, los skimmers toman la forma de código JavaScript que los operadores insertan sigilosamente en un sitio web de comercio electrónico, a menudo en las páginas de pago, con la intención de capturar en tiempo real los detalles de la tarjeta de los clientes y transmitirlos a un servidor remoto controlado.
Si bien la inyección de skimmers normalmente funciona mediante una solicitud del lado del cliente a un recurso de JavaScript externo alojado en un dominio controlado por un atacante cuando un cliente visita la tienda en línea en cuestión, el último ataque es un poco diferente en el sentido de que el código skimmer se introduce en el sitio del comerciante de forma dinámica en el lado del servidor.
El malware de shell web basado en PHP se hace pasar por un favicon ("Magento.png"), con el malware insertado en los sitios comprometidos manipulando las etiquetas del icono de acceso directo en el código HTML para señalar el falso archivo de imagen PNG. Este shell web, a su vez, está configurado para recuperar la carga útil de la siguiente etapa de un host externo, un skimmer de tarjetas de crédito que comparte similitudes con otra variante utilizada en los ataques Cardbleed en septiembre pasado, lo que sugiere que los actores de amenazas modificaron su conjunto de herramientas después de la divulgación pública.
Malwarebytes atribuyó la última campaña a Magecart Group 12 basándose en superposiciones en tácticas, técnicas y procedimientos empleados, agregando "el nombre de dominio más nuevo que encontramos (zolo [.] pw) está alojado en la misma dirección IP (217.12.204 [.] 185) que recaptcha-in [.] pw y google-statik [.] pw, dominios previamente asociados con Magecart Group 12".
Operando con la intención principal de capturar y extraer datos de pago, los actores de Magecart han adoptado una amplia gama de vectores de ataque durante los últimos meses para permanecer fuera del radar, evitar la detección y saquear los datos. Desde ocultar el código del ladrón de tarjetas dentro de los metadatos de la imagen y llevar a cabo ataques de homógrafos IDN para plantar skimmers web ocultos en el archivo de favicon de un sitio web hasta usar Google Analytics y Telegram como un canal de exfiltración, el sindicato de delitos cibernéticos ha intensificado sus esfuerzos para comprometer las tiendas en línea.
El skimming se ha vuelto una práctica tan prevalente y lucrativa que Lazarus Group, un colectivo de piratas informáticos patrocinados por el estado afiliados a Corea del Norte, atacó sitios web que aceptan pagos en criptomonedas con rastreadores de JavaScript maliciosos para robar bitcoins y ether en una nueva campaña llamada "BTC Changer" que comenzó a principios del año pasado.