Los ciberataques se han convertido en una amenaza omnipresente, evolucionando constantemente para explotar cualquier vulnerabilidad disponible. Un nuevo modus operandi ha salido a la luz, involucrando a los actores de amenazas conocidos como Magecart. Estos cibercriminales han encontrado una manera insidiosa de usar páginas de error 404 para implementar código malicioso y robar datos de tarjetas de crédito de los usuarios desprevenidos.
Magecart es un término colectivo que se refiere a varios grupos de ciberdelincuentes que se especializan en el fraude con tarjetas de crédito. Su modus operandi habitual es inyectar código malicioso en sitios web de comercio electrónico para interceptar información financiera cuando los clientes realizan una compra. Esta técnica se conoce como skimming.
Te podría interesar leer: Alerta de Carding: Desentrañando la Ciberestafa en Auge
Magecart opera a través de un esquema de skimming en tres etapas:
Acceso a la Web: Los ciberdelincuentes pueden infiltrarse directamente en un servidor web para implantar su skimmer o pueden corromper a un tercero que provee servicios al sitio web, infectando así su código.
Recolección de Datos: Utilizan un JavaScript camuflado que se activa durante el ingreso de datos en formularios, capturando información privada en la interfaz de pago.
Transmisión de Datos: El skimmer transfiere la información confidencial desde el navegador del usuario hasta un servidor bajo el control de los atacantes, donde se utiliza para actividades fraudulentas.
Magecart ha estado activo por años, aumentando su complejidad y frecuencia. Entre sus blancos más conocidos se encuentran:
British Airways (2018): Hackers robaron datos de 380,000 clientes a través de un script de 22 líneas en la página de pago. Este incidente resultó en una multa de 183 millones de libras.
Ticketmaster (2018): Un chatbot de terceros fue comprometido, afectando a 40,000 clientes y llevando a una multa de £1.25 millones para Ticketmaster.
Newegg (2018): Un skimmer en la página de pago comprometió la información de pago de millones de usuarios, utilizando un dominio similar al de Newegg para pasar desapercibido.
Segway (2022): Se ocultó un skimmer en una imagen codificada en base64 y de dimensiones nulas en la página de pago de Segway, indetectable para el usuario pero efectiva en el robo de información de pago.
Te podría interesar leer: Alerta de Carding: Desentrañando la Ciberestafa en Auge
Una nueva campaña ha sido descubierta en la red, explotando las páginas de error 404. Se ha identificado que una operación de skimming web asociada a Magecart ha estado apuntando a un amplio espectro de sitios web, incluyendo destacadas entidades de los sectores de la alimentación y venta al detalle.
Lo que hace particularmente notable a esta campaña son las tres sofisticadas técnicas de camuflaje que emplea, entre ellas una particularmente inédita que involucra la manipulación de la página de error 404 estándar para esconder el código dañino, presentando retos singulares en cuanto a su detección y contención.
Los ataques Magecart representan un reto de detección y prevención ya que atacan directamente el código del cliente, ejecutándose en los navegadores de los usuarios y escapando de los controles web estándar como los firewalls de aplicaciones web (WAF). No obstante, hay tácticas que los administradores de sitios pueden implementar para disminuir las probabilidades de ser comprometidos por Magecart:
Podría interesarte: Navegando Seguro: Desentrañando los Ataques de Man-in-the-Middle
Esta nueva campaña de Magecart, que explota las páginas de error 404, es un recordatorio alarmante de que los métodos de ataque están en constante evolución. Tanto los negocios en línea como los consumidores deben estar conscientes de las amenazas emergentes y adoptar prácticas de seguridad proactivas para protegerse contra estas técnicas de skimming cada vez más sofisticadas.