Exploit de estilo Magecart que afecta a múltiples plataformas de comercio electrónico para robar información de tarjetas de crédito e infectar otros sitios
Un grave ataque de piratería ha estado explotando sitios web de comercio electrónico para robar información de tarjetas de crédito de los usuarios y propagar el ataque a otros sitios web.
Estos ataques de piratería se denominan skimmer de estilo Magecart y se están extendiendo por todo el mundo a través de múltiples plataformas de comercio electrónico.
Los atacantes tienen como objetivo una variedad de plataformas de comercio electrónico:
- Magento
- Shopify
- WooCommerce
- WordPress
¿Qué hace el ataque?
Los atacantes tienen dos objetivos al infectar un sitio web:
1 Usar el sitio para difundirse a otros sitios
2 Robar información personal como datos de tarjetas de crédito de los clientes del sitio web infectado.
Identificar una vulnerabilidad es difícil porque el código colocado en un sitio web está codificado y, a veces, enmascarado como una etiqueta de Google o un código de píxel de Facebook.
Sin embargo, lo que hace el código es formularios de entrada de destino para la información de la tarjeta de crédito.
También sirve como intermediario para realizar ataques en nombre del atacante, encubriendo así el verdadero origen de los ataques.
Skimmer estilo Magecart
Un ataque de Magecart es un ataque que ingresa a través de una vulnerabilidad existente en la plataforma de comercio electrónico en sí.
En WordPress y WooCommerce podría ser una vulnerabilidad en un tema o complemento.
En Shopify podría ser una vulnerabilidad existente en esa plataforma.
En todos los casos, los atacantes se aprovechan de las vulnerabilidades que están presentes en la plataforma que utilizan los sitios de comercio electrónico.
Este no es un caso en el que haya una sola vulnerabilidad que pueda corregirse convenientemente Es una amplia gama de ellos.
El informe de Akamai afirma:
“Before the campaign can start in earnest, the attackers will seek vulnerable websites to act as “hosts” for the malicious code that is used later on to create the web skimming attack.
…Although it is unclear how these sites are being breached, based on our recent research from similar, previous campaigns, the attackers will usually look for vulnerabilities in the targeted websites’ digital commerce platform (such as Magento, WooCommerce, WordPress, Shopify, etc.) or in vulnerable third-party services used by the website.”
“Antes de que la campaña pueda comenzar en serio, los atacantes buscarán sitios web vulnerables para que actúen como “anfitriones” del código malicioso que se usa más tarde para crear el ataque de robo de datos web.
…Aunque no está claro cómo se violan estos sitios, según nuestra investigación reciente de campañas anteriores similares, los atacantes generalmente buscarán vulnerabilidades en la plataforma de comercio digital de los sitios web objetivo (como Magento, WooCommerce, WordPress, Shopify, etc.)
Acción sugerida
Akamai recomienda que todos los usuarios de comercio electrónico aseguren sus sitios web Eso significa asegurarse de que todas las aplicaciones y complementos de terceros estén actualizados y que la plataforma tenga la última versión.
También recomiendan usar un Firewall de aplicaciones web (WAF), que detecta y previene las intrusiones cuando los piratas informáticos exploran un sitio en busca de un sitio web vulnerable.
Los usuarios de plataformas como WordPress tienen múltiples soluciones de seguridad, siendo las más populares y confiables Sucuri Security (endurecimiento del sitio web) y WordFence (WAF).
Akamai recomienda:
“…the complexity, deployment, agility, and distribution of current web application environments — and the various methods attackers can use to install web skimmers — require more dedicated security solutions, which can provide visibility into the behavior of scripts running within the browser and offer defense against client-side attacks.
An appropriate solution must move closer to where the actual attack on the clients occurs. It should be able to successfully identify the attempted reads from sensitive input fields and the exfiltration of data (in our testing we employed Akamai Page Integrity Manager).
We recommend that these events are properly collected in order to facilitate fast and effective mitigation.”
“…la complejidad, la implementación, la agilidad y la distribución de los entornos de aplicaciones web actuales, y los diversos métodos que los atacantes pueden usar para instalar skimmers web, requieren soluciones de seguridad más dedicadas, que pueden proporcionar visibilidad del comportamiento de los scripts que se ejecutan dentro del navegador y ofrecer
Una solución adecuada debe acercarse al lugar donde ocurre el ataque real a los clientes. Debería poder identificar con éxito los intentos de lectura de campos de entrada confidenciales y la exfiltración de datos (en nuestras pruebas empleamos Akamai Page Integrity Manager).
Recomendamos que estos eventos se recopilen adecuadamente para facilitar una mitigación rápida y efectiva”.
Lea el informe original para obtener más detalles:
Nueva campaña estilo Magecart que abusa de sitios web legítimos para atacar a otros New Magecart-Style Campaign Abusing Legitimate Websites to Attack Others
Imagen destacada de Shutterstock/missSIRI
Leer el articulo original en Search Engine Journal.
