Los atacantes que ocultan el robo de números de tarjetas de crédito en imágenes

Comparte en ...

Alerta MagnetoLos investigadores están animando a los desarrolladores que utilizan Magento a permanecer vigilantes sobre la configuración de forma segura sus sitios, ya que los atacantes han estado incrustando lectores de tarjetas de crédito en los sitios que ejecutan la plataforma de comercio electrónico de código abierto.

Los swipers o raspadores, son fragmentos de código malicioso que recopilan números de tarjetas de crédito, datos de acceso y otros datos y lo envian a los atacantes. Mientras que los delincuentes se han dirigido a sitios que se ejecutan en la plataforma, han hecho más, recientemente iniciaron la incorporación de dicha información en archivos de imágenes oscuras.

En un giro aún más, en un reciente ejemplo de una imagen que se ocultaba roban números de tarjetas de crédito que era legítima y visible públicamente, lo que significa que un atacante ni siquiera tendría la dificultad de acceder al sitio para obtener la información. Ellos simplemente podrían ver o descargar la imagen desde el sitio afectado.

Mientras que en un análisis superficial de la zona afectada, Ben Martin, líder del equipo en la empresa de seguridad Sucuri, finalmente ha descubierto el código swiper, junto con el archivo de imagen que almacena los datos de su tarjeta de crédito robadas, ubicado en un componente del sistema de Magento, «Cc.php.»

Es raro que el archivo de imagen en realidad contienen una imagen real, Martin escribió en un blog el lunes; por lo general los usuarios reciben un error cuando intentan acceder a los archivos de imagen de almacenamiento de datos. En este caso, la imagen no sólo trabajó, también era de un producto, un perfume, que se venden en el sitio.

«La mayoría de los propietarios de los sitios web están sin enterarse si se encontraron con esta imagen y la abrió para asegurarse de que funcionaba», Martin escribió en el blog.

No fue hasta que recorrió el código fuente de la imagen que Martin descubrió que estaba compuesto de números de tarjetas de crédito robadas. La mayoría de las víctimas tenían su sede en los Estados Unidos, pero algunas tarjetas pertenecían a clientes en Japón, Turquía, Arabia Saudita, y Vancouver, Canadá, según Martin.

«… En realidad, nadie sospecha de un archivo de imagen para contener malware. Esto le da al atacante un lugar secreto para almacenar datos,» Martin escribió, «Si el atacante había elegido para almacenar los datos de la tarjeta de crédito robadas en un archivo de texto simple, entonces puede ser más fácil que alguien lo descubra y tomar medidas para eliminar el hack».

Martin dijo, borre la imagen para que nadie pueda ser capaz de descargarlo en el futuro, pero no está claro cuán extendido están las tarjetas de crédito.

Cuando fue contactado sobre la investigación el martes un portavoz con Magento dijo que no había contacto con la empresa sobre el tema, pero subrayó que no era una vulnerabilidad específica de Magento.

«El atacante inyecta su código malicioso en nuestro fichero Cc.php legítimo, lo que indica que el sitio no está siguiendo las mejores prácticas de seguridad de Magento y en concreto no tiene la propiedad de sistema de archivos adecuado/seguro y de configuración y permiso», dijo Magento.

«Nuestras investigaciones de los últimos informes de malware, como el que se destacó Sucuri, no han revelado nuevos vectores de ataque. En su lugar, los atacantes se aprovechan de las vulnerabilidades existentes, parches, contraseñas pobres, la configuración de propiedad y permisos débiles en el sistema de archivos «.

Los atacantes han utilizado durante mucho tiempo la esteganografía, el arte de ocultar mensajes, o en este caso los números de tarjetas de crédito, en los datos.

El mes pasado, Microsoft corrigió una vulnerabilidad en Internet Explorer y Edge de que estaba siendo explotado por una campaña de publicidad maliciosa y el uso de la esteganografía para ocultar sus ataques.

Magento, que alimenta aproximadamente 240.000 tiendas en línea y era propiedad de eBay hasta que fue vendida el pasado verano, se ha mantenido como un destino atractivo para los atacantes a lo largo de los años.

A principios de este año una cepa especializada de ransomware, KimcilWare, era el cifrado de tiendas web que utilizan la plataforma. Una vez instalados, los atacantes fueron por el cifrado de archivos de sitios web y exigiendo el pago en Bitcoin, entre $140 USD y $415 USD , para el descifrado. Magento dijo en ese momento que se cree que los atacantes no fueron por la plataforma en particular, por la «vulnerabilidades más general del servidor web.»

Magento está empujado para hacer frente a un puñado de vulnerabilidades, ninguno relacionado con el tema descubierto por Sucuri la semana pasada. Esos cambios incluyen correcciones para una vulnerabilidad crítica de ejecución remota del código, una vulnerabilidad de inyección SQL y un trío de vulnerabilidades cross-site scripting almacenados en su edición Enterprise y Community Edition del software.

Comparte en ...
Scroll al inicio