Los investigadores de ciberseguridad han descubierto una importante campaña de robo de información web que ha estado activa desde enero de 2022, dirigida a varias redes de pago importantes, como American Express, Diners Club, Discover, JCB Co., Ltd., Mastercard y UnionPay.
«Las organizaciones empresariales que son clientes de estos proveedores de pagos son las que tienen más probabilidades de verse afectadas», dijo Silent Push dijo en un informe publicado hoy.
Los ataques de robo digital se refieren a una categoría de ataques del lado del cliente en los que personas malintencionadas comprometen sitios de comercio electrónico y portales de pago legítimos para inyectar código JavaScript malintencionado que es capaz de recopilar sigilosamente información de tarjetas de crédito y otra información personal cuando usuarios desprevenidos intentan realizar un pago en las páginas de pago.
Estos ataques se clasifican bajo un término general llamado Hechicart , que inicialmente se refería a una coalición de grupos de ciberdelincuentes que atacaban sitios de comercio electrónico que utilizaban el software Magento, antes de diversificarse hacia otros productos y plataformas.
Silent Push dijo que descubrió la campaña tras analizar un dominio sospechoso vinculado a Stark Industries, un proveedor de alojamiento a prueba de balas, ahora sancionado (y a su empresa matriz PQ.hosting), que desde entonces renombrado to THE [.] El alojamiento, bajo el control de la entidad holandesa WorkTitans B.V., es una medida de evasión de sanciones.
Se ha descubierto que el dominio en cuestión, cdn-cookie [.] com, aloja cargas de JavaScript muy confusas (por ejemplo, "recorder.js" o "tab-gtm.js «) que cargan las tiendas web para facilitar el robo de tarjetas de crédito.
El skimmer viene con funciones para evitar que los administradores del sitio lo detecten. Concretamente, busca en el árbol del Modelo de Objetos del Documento (DOM) un elemento denominado» barra de panel de wp », una referencia a una barra de herramientas que aparece en los sitios web de WordPress cuando los administradores que han iniciado sesión o los usuarios con los permisos adecuados están viendo el sitio.
En caso de que el elemento «wpadminbar» esté presente, el skimmer inicia una secuencia de autodestrucción y elimina su propia presencia de la página web. Cada vez que se modifica el DOM de la página web, se intenta ejecutar el skimmer, un comportamiento estándar que se produce cuando los usuarios interactúan con la página.
Eso no es todo. El skimmer también comprueba si se ha seleccionado Stripe como opción de pago y, de ser así, existe un elemento llamado «wc_cart_hash» en el navegador Almacenamiento local , que crea y establece en «true» para indicar que la víctima ya ha sido escaneada con éxito.
La ausencia de este indicador hace que el skimmer genere un formulario de pago falso de Stripe que sustituye al formulario legítimo mediante manipulaciones en la interfaz de usuario, engañando así a las víctimas para que introduzcan los números de sus tarjetas de crédito, junto con las fechas de caducidad y los números del código de verificación de la tarjeta (CVC).
«Cuando la víctima haya introducido los datos de su tarjeta de crédito en un formulario falso en lugar del formulario de pago real de Stripe, que el skimmer ocultó inicialmente cuando lo rellenó por primera vez, la página de pago mostrará un error», afirma Silent Push. «Esto hace que parezca que la víctima simplemente ha introducido sus datos de pago de forma incorrecta».
Los datos robados por el skimmer van más allá de los detalles de pago e incluyen nombres, números de teléfono, direcciones de correo electrónico y direcciones de envío. Finalmente, la información se filtra mediante una solicitud HTTP POST al servidor «lasorie [.] com».
Una vez que se completa la transmisión de datos, el skimmer borra los rastros de sí mismo de la página de pago, elimina el formulario de pago falso que se creó y restaura el formulario de entrada legítimo de Stripe. A continuación, establece «wc_cart_hash» en «true» para evitar que el skimmer vuelva a ejecutarse sobre la misma víctima.
«Este atacante tiene un conocimiento avanzado del funcionamiento interno de WordPress e integra funciones aún menos conocidas en su cadena de ataque», afirma Silent Push.
Post generado automaticamente, fuente oficial de la información: THEHACKERNEWS