CIBERSEGURIDAD

Armor advierte a los minoristas de comercio electrónico sobre el aumento de los ataques; Herramienta de ataque de rastreo de tarjetas de crédito estilo Magecart ahora a la venta en la Dark Web

0 66 7 minutos de lectura

Armor, un proveedor líder de soluciones de seguridad en la nube, ha encontrado lo que cree que es la primera herramienta de ataque estilo Magecart (rastreo de tarjetas de crédito) que se ofrece abiertamente a la venta en la Dark Web. Los ataques anteriores al estilo Magecart, (como los ataques de British Airways y Newegg, por ejemplo), han sido llevados a cabo por grupos de amenazas específicos que, de todas las cuentas, han utilizado su propia herramienta de detección de tarjetas de pago patentada y no una herramienta de detección que ha sido vendido abiertamente en los mercados subterráneos de hackers.



Según el anuncio publicado la primera semana de diciembre, esta herramienta de ataque al estilo Magecart es nueva y se vende por $ 1300 USD. El anuncio está en un foro ruso y los actores de amenazas que venden la herramienta han estado activos en los foros rusos durante más de un año. Supuestamente también ha desarrollado y puesto a la venta un troyano bancario para el sistema operativo móvil Android.

Se anuncia que la herramienta de ataque estilo Magecart contiene dos componentes: un rastreador universal estándar (tarjeta de pago) y un panel de control. El panel de control se puede utilizar para generar un rastreador de tarjetas de crédito personalizado (archivo JavaScript) para trabajar con cualquier sitio de comercio electrónico que emplee formas de pago Magento, OpenCart u OsCommerce. La herramienta de rastreo de tarjetas de pago esencialmente observa si los compradores ingresan nuevos datos de tarjetas de pago en el formulario de pago en las páginas de pago del sitio de comercio electrónico al que se dirige.

El rastreador recopila los datos de la tarjeta de pago y los envía a un servidor remoto bajo su control. Además, la herramienta también utiliza el protocolo Secure Socket Layer (SSL) para cifrar los datos de la tarjeta de pago saliente que se recopilan, lo que dificulta que los equipos de seguridad vean los datos que se extraen del sitio de comercio electrónico.

Hace menos de un mes, el 30 de noviembre, la Unidad de Resistencia a las Amenazas (TRU) de Armor lanzó una Alerta de Amenaza, indicando que esperaba ver un aumento en los ataques al estilo Magecart coincidiendo con la fiebre del comercio electrónico navideño, y como un próximo paso natural. en la evolución de los ataques Magecart, derivados de la mayor atención y los informes provocados por los compromisos exitosos informados durante los últimos meses, incluidos Ticketmaster, British Airways, Newegg y varios proveedores de complementos de terceros. El equipo de TRU predijo que, como parte de esta siguiente fase natural, habría un aumento en los casos de ataques de imitación de Magecart de baja sofisticación, similar a lo que se vio en los brotes de Cryptominers y Ransomware en los últimos años.

En opinión del investigador de seguridad senior de TRU, Corey Milligan, “esta herramienta de ataque representa el primer paso en la mercantilización del ataque al estilo Magecart, creando una nueva línea de ingresos para los grupos de amenazas originales de Magecart y al mismo tiempo sirve para saturar el panorama de amenazas con intentos de los actores de amenazas de bajo nivel y, por lo tanto, ocultan las propias actividades de los actores de amenazas originales que los expertos en seguridad ahora están siguiendo «

Milligan también señaló que, “si bien esta herramienta proporciona a los actores de amenazas de baja sofisticación una capacidad poderosa, se requieren otras piezas para utilizar el rastreador de manera efectiva, ya que no identifica los objetivos de comercio electrónico vulnerables utilizando formularios de pago Magento, OpenCart u OsCommerce. Tampoco proporciona un mecanismo para penetrar en los objetivos identificados, implantar el script que descargará y ejecutará el rastreador en un navegador o proporcionar un servidor seguro y no atribuible para recopilar los datos de la tarjeta de crédito recolectada «.

En manos de un actor de amenazas de bajo nivel, el equipo de TRU cree que esta herramienta probablemente se conectará a un proceso que implica el escaneo automatizado y el ataque indiscriminado de sitios de comercio electrónico vulnerables, incluso aquellos que no tienen el forma de pago aplicable. “Esperamos ver una gran cantidad de ataques de“ Ave María ”, con los ciberdelincuentes con la intención de atacar tantos sitios como sea posible, con la esperanza de que algunos de ellos tengan éxito y sean fructíferos”, dijo Milligan. «Como dice el adagio, solo tienen que tener razón una vez y, en este caso, tener la razón una vez podría resultar en una gran cantidad de datos de tarjetas de crédito que son rentables y fáciles de vender en la Dark Web».
¿Cómo pueden los minoristas de comercio electrónico protegerse a sí mismos y a sus clientes de los ataques al estilo Magecart?

Si bien estas recomendaciones se clasifican, buenas, mejores, mejores, se recomienda que, cuando sea posible, estas técnicas se utilicen en combinación entre sí para proporcionar una defensa en capas.

Bien
– Mantenga su página de pago simple. La carga de scripts de terceros junto con su página de procesamiento de pagos aumenta el riesgo de compromiso de terceros. Muchos proveedores de contenido de terceros no se centran en la seguridad. Se sabe que los actores de amenazas eligen el objetivo más suave y no dudarán en eludir su seguridad comprometiendo a un tercero en el que confía en su página de procesamiento de pagos.

Mejor
– Audite el contenido web de cara al público con regularidad para identificar cambios no autorizados.
– Utilice la integridad de los recursos secundarios para los scripts incrustados. Por sí solo, no lo protegerá de todas las formas de ataques de inyección de código de terceros, pero como práctica aumenta su nivel de seguridad y lo convierte en un objetivo más difícil.
– Como medida de respaldo y paso para mitigar ataques similares, se puede emplear un encabezado de política de seguridad de contenido (CSP). Este encabezado adicional para contenido web le dice al navegador, que está accediendo a su sitio, desde dónde se autoriza la descarga de recursos. Si bien esto no detendrá la descarga de scripts de terceros confiables y comprometidos, sí ayuda a mitigar otros ataques de inyección de HTML en los que la fuente de contenido se ha cambiado a una fuente de descarga que no es de confianza.

Mejor
– Subcontrate el procesamiento de sus pagos a un procesador de pagos externo. Si bien esto implica confiar en un tercero, no todos los terceros son iguales. Por supuesto, haga su tarea antes de seleccionar uno, pero, en general, los procesadores de pagos que realizan este servicio tienen prácticas de seguridad bien implementadas. Si bien habrá costos adicionales relacionados con el uso de un procesador de pagos externo, también puede liberarlo de muchos requisitos estrictos de PCI que tienen sus propios costos de mantenimiento.

Vale la pena señalar que el vendedor del código de rastreo de tarjetas de crédito, al que se hizo referencia anteriormente, declaró específicamente en su oferta que la herramienta no sería efectiva contra sitios que utilizan formas de pago de terceros, ya que el ingreso de información de pago y el procesamiento de pagos no lo hacen. realmente tienen lugar en el sitio de comercio electrónico infectado.

Después del hecho
Si se ha visto afectado por uno de estos tipos de ataques y el proveedor de código de terceros ha tomado medidas para limpiarlo, es posible que aún sea vulnerable si está utilizando una Red de entrega de contenido (CDN) que almacena contenido en caché para mejorar el rendimiento. Si este es el caso, asegúrese de vaciar las páginas almacenadas en caché como uno de los pasos finales para la limpieza.

Cómo los compradores en línea pueden protegerse de un ataque Magecart
Como comprador en línea, para proteger los datos de su tarjeta de pago a salvo de un ataque Magecart, desactive JavaScript dentro de su navegador antes de realizar un pago. Dado que el código de skimming de tarjetas está escrito en JavaScript, esto evitará un ataque Magecart estándar. (NOTA: deshabilitar JavaScript en su navegador también puede hacer que las páginas web no funcionen. En el caso de que necesite dejar JavaScript habilitado, le recomendamos que utilice tarjetas prepagas para compras en línea).

Si bien la mayoría de los bancos ofrecen servicios para ayudarlo a recuperarse del fraude, puede llevar tiempo. En el caso de una tarjeta de débito, el tiempo que lleva recuperar los fondos robados que pueden ser necesarios para pagar una factura es un riesgo demasiado grande. Usar una tarjeta de crédito reduce este riesgo, pero una solución aún mejor es usar una tarjeta prepaga. Las tarjetas prepagas son fáciles de obtener, incluso para quienes no tienen historial crediticio, y limitan la cantidad que se puede robar mediante fraude a la cantidad de dinero que deposita en la tarjeta. Es posible que las tarjetas prepagas no sean la solución más conveniente o rentable, pero pueden ayudar a mantener la información de su cuenta bancaria y de crédito fuera del alcance de los delincuentes.

Historia de los ataques de Magecart
Ya en 2015, las organizaciones de inteligencia y los investigadores de seguridad, como RiskIQ y Willem DeGroot, han estado rastreando e informando sobre una tendencia creciente y técnicas asociadas para lo que ahora se denomina skimming de tarjetas de crédito en línea. Magecart toma su nombre de su descubrimiento original de Técnicas y Procedimientos de Tácticas (TTP) en el que las instancias del sistema de administración de contenido (CMS) de Magento, con funcionalidad de carrito de compras, estaban siendo escaneadas, atacadas y atacadas. Por lo tanto, tiene ‘Mage’nto shopping’ cart ‘, o Magecart. En este TTP inicial, se aprovechó una vulnerabilidad en un sitio de Magento para modificar el código fuente del sitio, inyectando lo que parecía una descarga legítima de una biblioteca de JavaScript. En realidad, cuando un navegador se conectaba al sitio, automáticamente descargaba este archivo JavaScript, como es común, y lo ejecutaba en el navegador. El malware identificaría la funcionalidad del carrito de compras y la modificaría para que se enviara una copia de la información de la tarjeta de crédito enviada a un servidor propiedad del actor de la amenaza.

Aunque se sigue utilizando el nombre Magecart, los ataques de robo de tarjetas en línea han evolucionado más allá de apuntar solo a los sitios de Magento. Se han identificado al menos seis grupos separados que utilizan un TTP similar para modificar sitios de comercio electrónico con archivos JavaScript maliciosos. Las cualidades únicas que permiten distinguir a estos actores de amenazas incluyen variaciones en la sofisticación y la selección de objetivos, siendo las infracciones de mayor perfil aquellas que han aprovechado la cadena de suministro de software (Inbenta, Feedify y Shopper Approved) y aquellas que se han dirigido a niveles específicos de alta. -sitios de tráfico (British Airways y Newegg).

Publicaciones relacionadas

CISA publica una directiva de emergencia sobre el protocolo remoto Netlogon de Microsoft Windows

Al 91% del Reino Unido le gustaría tener mejores leyes de privacidad para los dispositivos de IoT

Profesionales de la seguridad hartos de usuarios estúpidos, descubre Bromium

Se alienta al gobierno «consciente» a liderar el desafío de la IoT

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar