Un nuevo malware skimmer se dirige a sitios web de comercio electrónico con tecnología Magento y roba información confidencial de tarjetas de crédito de las páginas de pago.
El malware crea dinámicamente formularios de tarjetas de crédito falsos o extrae directamente campos de pago y solo está activo en las páginas de pago. Luego, la información robada se cifra y se extrae a un servidor remoto.
“Este sofisticado skimmer apunta a las páginas de pago de Magento para robar datos de pago confidenciales inyectando formularios falsos y extrayendo campos de entrada en vivo”, explicó Sucuri en la publicación.
“Su enfoque dinámico y mecanismo de cifrado hacen que sea difícil de detectar”.
Analice las amenazas cibernéticas utilizando el potente entorno limitado de ANYRUN. Oferta de Black Friday: obtenga hasta 3 licencias gratuitas.
Malware que roba información de tarjetas de crédito
Weston Henry, experto en seguridad de Sucuri, identificó un ataque en el que se detectó un script malicioso durante una evaluación de rutina. La herramienta detectó recursos originados en el dominio Dynamicopenfonts.app incluido en la lista negra.
Estuvieron involucrados tres dominios diferentes:
Dynamicopenfonts(.)aplicación staticfonts(.)com Static-fonts(.)com Código de infección
El contenido de los scripts externos se ofusca para evitar su descubrimiento, lo que dificulta su reconocimiento a primera vista. Cuando se ejecute el script, solo estará activo en las páginas cuya URL contenga la palabra “pagar” pero no la palabra “carrito”.
Ejemplo de formulario de tarjeta de crédito falsa
“Este script está diseñado para extraer información confidencial de la tarjeta de crédito de campos específicos en la página de pago”, explicaron los investigadores.
Luego, el malware utiliza la API de Magento para recopilar más datos del usuario, incluido el nombre, la dirección, el número de teléfono, el correo electrónico y otros detalles de facturación del usuario. Para obtener esta información se utilizan los datos del cliente y el modelo de cotización de Magento.
La información se codifica inicialmente como JSON para protegerla y hacerla más difícil de encontrar. Luego se cifra con XOR utilizando un “script” de clave para agregar otra capa de ofuscación.
Finalmente, se aplica codificación Base64 a los datos cifrados para garantizar una entrega segura.
Enviar información robada a un servidor remoto
Cuando un usuario ingresa información de pago a través de un formulario o campo pirateado, el malware recopila y cifra los datos robados. Luego utiliza un método de baliza para enviar estos datos a un servidor remoto ubicado en staticfonts.com.
La tecnología Beacon es un método mediante el cual un programa o script comunica datos de forma silenciosa e invisible desde un cliente (como el navegador o dispositivo de un usuario) a un servidor remoto sin alertar al usuario ni interferir con sus actividades.
La URL codificada en Base64 (aHR0cHM6Ly9zdGF0aWNmb250cy5jb20=) se decodifica en hxxps://staticfonts(.)com, donde se envían los datos de la tarjeta de crédito robada.
Por lo tanto, para proteger su plataforma de comercio electrónico, recomendamos realizar auditorías de seguridad frecuentes, estar atento a comportamientos extraños y utilizar un WAF sólido.
Aprovechamiento de los resultados de MITRE ATT&CK de 2024 para líderes en ciberseguridad de pymes y MSP: únase al seminario web gratuito
