Los investigadores de ciberseguridad han descubierto una importante campaña de skimming web que ha estado activa desde enero de 2022, dirigida a varias redes de pago importantes, como American Express, Diners Club, Discover, JCB Co., Ltd., Mastercard y UnionPay.
“Las empresas que son clientes de estos proveedores de pagos tienen más probabilidades de verse afectadas”, dijo Silent Push en un informe publicado hoy.
Los ataques de skimming digital se refieren a una categoría de ataques del lado del cliente en los que actores maliciosos comprometen sitios web de comercio electrónico y pasarelas de pago legítimos para inyectar código JavaScript malicioso capaz de recopilar en secreto información de tarjetas de crédito y otra información personal cuando usuarios desprevenidos intentan realizar un pago en las páginas de pago.
Estos ataques se clasifican bajo el término general “Magecart”, que inicialmente se refería a una coalición de grupos de ciberdelincuentes que atacaban sitios web de comercio electrónico que utilizaban el software Magento antes de expandirse a otros productos y plataformas.
Silent Push dijo que descubrió la campaña después de analizar un dominio sospechoso vinculado a un proveedor de alojamiento Bulletproof ahora autorizado, Stark Industries (y su empresa matriz PQ.Hosting), que desde entonces pasó a llamarse THE(.). El hosting, que está bajo el control de la empresa holandesa WorkTitans BV, es una medida para eludir las sanciones.
Se descubrió que el dominio en cuestión, cdn-cookie(.)com, aloja cargas útiles de JavaScript muy ofuscadas (por ejemplo, “recorder.js” o “tab-gtm.js”) que cargan las tiendas web para facilitar el espionaje de las tarjetas de crédito.
El skimmer está equipado con funciones para evitar la detección por parte de los administradores del sitio. Específicamente, se busca en el árbol DOM (Document Object Model) un elemento llamado “wpadminbar”, una referencia a una barra de herramientas que aparece en los sitios web de WordPress cuando los administradores registrados o los usuarios con los permisos adecuados ven el sitio.
Si el elemento wpadminbar está presente, el skimmer inicia una secuencia de autodestrucción y elimina su propia presencia del sitio web. Cada vez que cambie el DOM del sitio web, se intentará ejecutar el skimmer. Este es un comportamiento estándar que ocurre cuando los usuarios interactúan con la página.
Eso no es todo. El skimmer también comprueba si se ha seleccionado Stripe como opción de pago. Si es así, hay un elemento en el almacenamiento local del navegador llamado “wc_cart_hash” que se crea y se establece en verdadero para indicar que la víctima ya ha sido desviada con éxito.
La ausencia de esta bandera hace que el skimmer emita un formulario de pago Stripe falso que utiliza la manipulación de la interfaz de usuario para reemplazar el formulario legítimo, engañando a las víctimas para que ingresen sus números de tarjetas de crédito junto con fechas de vencimiento y códigos de verificación de tarjetas (CVC).
“Debido a que la víctima ingresó la información de su tarjeta de crédito en un formulario falso en lugar del formulario de pago Stripe real que el skimmer ocultó inicialmente al completarlo por primera vez, se muestra un error en la página de pago”, dijo Silent Push. “Esto crea la impresión de que la víctima simplemente ingresó incorrectamente sus datos de pago”.
Los datos robados por el skimmer incluyen no sólo detalles de pago, sino también nombres, números de teléfono, direcciones de correo electrónico y direcciones de envío. La información finalmente se filtra mediante una solicitud HTTP POST al servidor “lasorie(.)com”.
Una vez que se completa la transferencia de datos, el skimmer elimina rastros de sí mismo de la página de pago, elimina el formulario de pago falso creado y restaura el formulario de entrada legítimo de Stripe. Luego, wc_cart_hash se establece en verdadero para evitar que el skimmer se ejecute por segunda vez en la misma víctima.
“Este atacante tiene un amplio conocimiento del funcionamiento interno de WordPress e incluso incorpora características menos conocidas en su cadena de ataque”, dijo Silent Push.
About The Author
