MageCart sigue «innovando» para robar tarjetas de crédito de sitios de ecommerce

MageCart sigue «innovando» para robar tarjetas de crédito de sitios de ecommerce

MageCart es el término general que se le da a varios grupos de ciberdelincuentes que ponen a los sitios web de comercio electrónico en el punto de mira con el objetivo de saquear números de tarjetas de crédito inyectando skimmers maliciosos de JavaScript y vendiéndolos en el mercado negro.

Los analistas de seguridad de Sucuri han descubierto una nueva técnica empleada por MageCart. Se trata de ocultar el código de malware dentro de los bloques de comentarios y codificar los datos de tarjetas de crédito robadas en imágenes y otros archivos alojados en el servidor. Una nueva muestra de cómo los atacantes continúan «innovando» al mejorar sus cadenas de infección para escapar de la detección.

«Una de las nuevas tácticas que están empleando es la descarga de datos de tarjetas de crédito robados en archivos de imagen en el servidor, para no levantar sospechas. Estos se pueden descargar posteriormente mediante una simple solicitud GET en una fecha posterior», explican.

MageCart, la peor ciberamenaza para el ecommerce

En un caso de infección del sitio web de comercio electrónico de Magento investigada por la empresa de seguridad propiedad de GoDaddy, se descubrió que el skimmer se insertó en uno de los archivos PHP involucrados en el proceso de pago en forma de una cadena comprimida codificada en Base64.

Además, para enmascarar aún más la presencia de código malicioso en el archivo PHP, los ciberdelincuentes utilizaron una técnica llamada concatenación en la que el código se combinó con fragmentos de comentarios adicionales que «no hacen nada funcionalmente, pero agregan una capa de ofuscación. haciéndolo algo más difícil de detectar».

En última instancia, el objetivo de los ataques es capturar los detalles de la tarjeta de pago de los clientes en tiempo real en el sitio web comprometido. Luego se guardan en un archivo de hoja de estilo falso (.CSS) en el servidor y se descargan posteriormente mediante una solicitud GET.

«MageCart es una amenaza cada vez mayor para los sitios web de comercio electrónico», dicen los analistas de un grupo responsable de ataques sonados a Magento, Brithish Airways, Ticket Master y otros. «Desde la perspectiva de los atacantes las recompensas son demasiado grandes y las consecuencias inexistentes. Las fortunas se hacen literalmente robando y vendiendo los datos de las tarjetas de crédito en el mercado negro«, aseguran.