Recuerde Magecart?
En noviembre del año pasado, los investigadores de seguridad descubrieron que el infame software malicioso, conocido para la recolección de datos de la tarjeta de crédito formas de pago y envío, [wplinkpreview url =”https://sensorstechforum.com/sites-magecart-malware-reinfected/”]podría volver a infectar incluso después de la limpieza.
Ahora, Magecart está activa una vez más notorios en las campañas en las que 277 sitios web de comercio electrónico se infectaron en los ataques de la cadena de suministro. ¿Qué significa este?
Campañas nuevas Magecart Detectado
Los investigadores de seguridad de Trend Micro RiskIQ y se encontraron con un nuevo subgrupo conocido como Grupo Magecart 12 que está infectando sitios web dirigidos por la inserción de código descremado en un tercero biblioteca JavaScript. Esta técnica carga el código malicioso en todos los sitios web que utilizan la biblioteca.
La investigación adicional en estas actividades reveló que el código no espumado se inyecta directamente en los sitios web de comercio electrónico, sino a una biblioteca de JavaScript de terceros por Adverline, una compañía francesa de publicidad online, que rápidamente estableció contacto. Adverline ha manejado el incidente y ha llevado a cabo de inmediato las operaciones de remediación necesarias en relación con el CERT La Poste, dijo que los investigadores de Trend Micro en su informe.
RiskIQ investigadores también han estado vigilando de cerca el grupo Magecart. Al parecer,, Grupo 12 creado su infraestructura en septiembre del año pasado, dominios se registraron, Los certificados SSL se establecieron a través LetsEncrypt, y fue instalado el backend desnatado. Los hackers también utilizan un pequeño fragmento con una URL codificada base64 para el recurso de que se decodifica en tiempo de ejecución y se inyecta en la página, destaca el informe de RiskIQ.
El grupo logró comprometer sitios web dirigidos a través Adverline al final de 2018.
Debe tenerse en cuenta que el código de desnatado Magecart Grupo 12 es ligeramente diferente, con "un giro interesante”- que se protege de deobfuscation y análisis mediante la realización de una comprobación de integridad sobre sí misma.
En cuanto al guión inyección real, que llega en dos etapas, ambos diseñados para realizar una comprobación de auto-integridad. Así es como las dos etapas se llevan a cabo, como explicado por RiskIQ:
– Toda la primera etapa se ejecuta como una función, que se define a nivel mundial (esto es importante)
– La segunda etapa se codifica y se rellena con los datos de la chatarra, que está escrito en un nuevo objeto div
– Estos datos de la segunda etapa es entonces unpadded, descifrado, y finalmente ejecutado
– El código ejecutado agarra una referencia a sí mismo (que fue establecido a nivel mundial) y se somete a una función hash que es la implementación de JavaScript de código hash de Java.
– Si la comprobación valida se ejecuta la siguiente etapa.
Afortunadamente, Adverline ya se ha solucionado el problema eliminando el código malicioso de la biblioteca JavaScript afectados.