El grupo Magecart no es el único hackeo colectivo dirigido a tiendas de comercio electrónico en línea en masa. Conocido como Guardián, Este grupo de delitos informáticos se ha introducido con éxito en los servidores de la tienda en línea para cambiar su código fuente e insertar secuencias de comandos maliciosas. Estas secuencias de comandos robaron los detalles de la tarjeta de pago tomados de los formularios de pago. Más que 570 las tiendas en línea han sido pirateadas en los últimos tres años.
Keeper Magecart Hacking Group Ataques
El grupo de pirateo de Keeper ha estado realizando descremado web, e-skimming, y ataques similares a Magecart. Investigadores de Géminis que analizaron los ataques., llamado el grupo Keeper Magecart. El nombre de Keeper deriva del uso repetido de un solo dominio llamado archivador[.]org. El dominio se ha utilizado para inyectar JavaScript con tarjeta de pago maliciosa que roba JavaScript (JS) en el código HTML de los sitios web de las víctimas, así como recibir datos de la tarjeta cosechada.
De acuerdo con Géminis, el grupo está operando con una red interconectada de 64 dominios de atacante y 73 dominios de exfiltración. Casi 600 tienda online en 55 los países fueron atacados desde ahora hasta abril 1, 2017. Los ataques están en curso..
Los dominios de exfiltración y atacante de Keeper utilizan paneles de inicio de sesión idénticos y están vinculados al mismo servidor dedicado; Este servidor aloja tanto la carga útil maliciosa como los datos extraídos de los sitios de las víctimas., El informe de Gemini dice.
Otro hallazgo clave del informe es que al menos 85% de los sitios afectados operan en el Magento CMS, que ha sido el objetivo principal de los grupos de piratería de Magecart. La mayoría de las tiendas en línea pirateadas se ubicaron en los Estados Unidos, seguido por el Reino Unido y los Países Bajos.
Los investigadores también descubrieron un registro de acceso no seguro en el panel de control de Keeper que contenía 184,000 tarjetas de pago comprometidas con marcas de tiempo que van desde julio 2018 a abril 2019:
Extrapolando el número de tarjetas por nueve meses a la vida útil general de Keeper, y dado el precio medio de la web oscura de $10 por tarjeta comprometida no presente (CNP) tarjeta, este grupo probablemente ha generado más de $7 millones de dólares por la venta de tarjetas de pago comprometidas.
¿Por qué los ataques contra las tiendas en línea de Magento son tan exitosos??
Para sorpresa de nadie, la primera razón se ejecuta en una versión desactualizada del sistema de administración de contenido, en este caso Magento. La razón número dos es utilizar complementos sin parchear. Una tercera opción, como lo señalaron los investigadores de Gemini, es "poner en peligro las credenciales de los administradores a través de inyecciones secuelas", lo que deja a los comerciantes de comercio electrónico vulnerables a una variedad de vectores de ataque.
Keeper Magecart capaz de varios ataques
El nivel de dificultad de los ataques del grupo Keeper Magecart varía. Géminis ha descubierto miles de ataques., incluida la inyección dinámica simple de código malicioso a través de un dominio malicioso, y aprovechando los servicios de almacenamiento y la esteganografía de Google Cloud o GitHub para incrustar código malicioso en logotipos e imágenes de dominios activos para robar datos de tarjetas de pago. La parte más problemática, sin embargo, es que este grupo continúa evolucionando y mejorando sus técnicas maliciosas.
En abril 2020, el grupo Magecart introdujo una nuevo skimmer conocido como MakeFrame. Según los investigadores RiskIQ, los usos skimmer iframes a los datos de la cosecha, de donde viene el nombre.
El skimmer MakeFrame se detectó por primera vez en el final de enero. Desde entonces, varias versiones han sido capturados en el medio silvestre, la presentación de varios niveles de ofuscación. En algunos casos, los investigadores dicen que han visto MakeFrame usando sitios comprometidos para los tres de sus funciones de alojamiento del código en sí desnatado, cargar el skimmer en otros sitios web comprometidos, y exfiltrating los datos robados.
"Hay varios elementos del skimmer MakeFrame que nos son familiares, pero es esta técnica en particular que nos recuerda Magecart Grupo 7,"Dijo RiskIQ.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: