Los investigadores de ciberseguridad han descubierto una importante campaña de skimming web que ha estado activa desde enero de 2022, dirigida a varias redes de pago importantes como American Express, Diners Club, Discover, JCB Co., Ltd., Mastercard y UnionPay.
«Las organizaciones empresariales que son clientes de estos proveedores de pagos son las que tienen más probabilidades de verse afectadas», Silent Push dicho en un informe publicado hoy.
Los ataques de skimming digital se refieren a una categoría de ataques del lado del cliente en los que los delincuentes comprometen sitios de comercio electrónico y portales de pago legítimos para inyectar código JavaScript malicioso que es capaz de recopilar sigilosamente información de tarjetas de crédito y otra información personal cuando usuarios desprevenidos intentan realizar un pago en las páginas de pago.
Estos ataques se clasifican bajo un término general llamado carro mágicoque inicialmente se refería a una coalición de grupos de ciberdelincuentes que atacaban sitios de comercio electrónico que utilizaban el software Magento, antes de diversificarse hacia otros productos y plataformas.
Silent Push dijo que descubrió la campaña después de analizar un dominio sospechoso vinculado a un proveedor de hosting a prueba de balas ahora autorizado, Stark Industries (y su empresa matriz PQ.Hosting), que desde entonces renombrado hacia[.]El hosting, bajo el control de la entidad holandesa WorkTitans BV, es una medida de evasión de sanciones.
El dominio en cuestión, cdn-cookie[.]com, aloja cargas útiles de JavaScript altamente ofuscadas (por ejemplo, «recorder.js» o «tab-gtm.js») que cargan las tiendas web para facilitar el robo de tarjetas de crédito.
El skimmer viene con funciones para evadir la detección por parte de los administradores del sitio. Específicamente, busca en el árbol del Modelo de objetos de documento (DOM) un elemento llamado «wpadminbar,» una referencia a una barra de herramientas que aparece en los sitios web de WordPress cuando los administradores que han iniciado sesión o los usuarios con los permisos adecuados están viendo el sitio.
En caso de que el elemento «wpadminbar» esté presente, el skimmer inicia una secuencia de autodestrucción y elimina su propia presencia de la página web. Cada vez que se modifica el DOM de la página web, se intenta ejecutar el skimmer, un comportamiento estándar que ocurre cuando los usuarios interactúan con la página.
Eso no es todo. El skimmer también verifica si se seleccionó Stripe como opción de pago y, de ser así, existe un elemento llamado «wc_cart_hash» en el navegador. almacenamiento localque crea y establece en «verdadero» para indicar que la víctima ya ha sido examinada con éxito.
La ausencia de esta bandera hace que el skimmer genere un formulario de pago Stripe falso que reemplaza el formulario legítimo a través de manipulaciones en la interfaz de usuario, engañando así a las víctimas para que ingresen sus números de tarjetas de crédito, junto con las fechas de vencimiento y los números del Código de verificación de tarjeta (CVC).
«Como la víctima ingresó los datos de su tarjeta de crédito en un formulario falso en lugar del formulario de pago real de Stripe, que inicialmente fue oculto por el skimmer cuando lo completó inicialmente, la página de pago mostrará un error», dijo Silent Push. «Esto hace que parezca como si la víctima simplemente hubiera ingresado sus datos de pago de manera incorrecta».
Los datos robados por el skimmer van más allá de los detalles de pago e incluyen nombres, números de teléfono, direcciones de correo electrónico y direcciones de envío. La información finalmente se exfiltra mediante una solicitud HTTP POST al servidor «lasorie[.]com.»
Una vez que se completa la transmisión de datos, el skimmer borra sus rastros de la página de pago, eliminando el formulario de pago falso que se creó y restaurando el formulario de entrada legítimo de Stripe. Luego establece «wc_cart_hash» en «true» para evitar que el skimmer se ejecute por segunda vez en la misma víctima.
«Este atacante tiene un conocimiento avanzado del funcionamiento interno de WordPress e integra características aún menos conocidas en su cadena de ataque», dijo Silent Push.
Fuente