Clicky

Hackers de Magecart ocultan en imágenes los datos de tarjetas de crédito robadas

Datos de tarjeta de crédito en imagen

MageCart es una amenaza cada vez mayor para los sitios web de comercio electrónico

Los actores de delitos cibernéticos que forman parte del grupo Magecart se han aferrado a una nueva técnica para ocultar el código de malware dentro de los bloques de comentarios y codificar los datos de tarjetas de crédito robadas en imágenes y otros archivos alojados en el servidor, demostrando una vez más cómo los atacantes mejoran continuamente sus cadenas de infección para escapar a la detección.

"Una táctica que emplean algunos actores de Magecart es el volcado de los detalles de las tarjetas de crédito robadas en archivos de imagen en el servidor [para] evitar levantar sospechas", dijo en un artículo el analista de seguridad de Sucuri, Ben Martin. "Estos se pueden descargar posteriormente mediante una simple solicitud GET en una fecha posterior".

MageCart es el término general que se le da a varios grupos de ciberdelincuentes que se dirigen a sitios web de comercio electrónico con el objetivo de saquear números de tarjetas de crédito inyectando skimmers maliciosos de JavaScript y vendiéndolas en el mercado negro.

Sucuri atribuyó el ataque a Magecart Group 7 basándose en superposiciones en las tácticas, técnicas y procedimientos (TTP) adoptados por el actor de la amenaza.

En un caso de infección de un sitio web de comercio electrónico de Magento investigada por la empresa de seguridad propiedad de GoDaddy, se descubrió que el skimmer se insertó en uno de los archivos PHP involucrados en el proceso de pago en forma de una cadena comprimida codificada en Base64.

código base64

Además, para enmascarar aún más la presencia de código malicioso en el archivo PHP, se dice que los adversarios utilizaron una técnica llamada concatenación en la que el código se combinó con fragmentos de comentarios adicionales que "funcionalmente no hacen nada, pero agregan una capa de ofuscación que lo hace algo más difícil de detectar".

En última instancia, el objetivo de los ataques es capturar los detalles de la tarjeta de pago de los clientes en tiempo real en el sitio web comprometido, que luego se guardan en el servidor en un falso archivo de hoja de estilo (.CSS) y se descargan posteriormente haciendo una solicitud GET por el actor de la amenaza.

"MageCart es una amenaza cada vez mayor para los sitios web de comercio electrónico", dijo Martin. "Desde la perspectiva de los atacantes: las recompensas son demasiado grandes y las consecuencias inexistentes, ¿por qué no? Las fortunas se hacen literalmente [robando] y vendiendo tarjetas de crédito robadas en el mercado negro".

Jesus_Caceres