Un grave ataque de piratería ha estado explotando sitios web de comercio electrónico para robar información de tarjetas de crédito de los usuarios y propagar el ataque a otros sitios web.
Estos ataques de piratería se denominan skimmer de estilo Magecart y se están extendiendo por todo el mundo a través de múltiples plataformas de comercio electrónico.
Los atacantes tienen como objetivo una variedad de plataformas de comercio electrónico:
- Magento
- Shopify
- WooCommerce
- WordPress
¿Qué hace el ataque?
Los atacantes tienen dos objetivos al infectar un sitio web:
1. Usar el sitio para difundirse a otros sitios
2. Robar información personal como datos de tarjetas de crédito de los clientes del sitio web infectado.
Identificar una vulnerabilidad es difícil porque el código colocado en un sitio web está codificado y, a veces, enmascarado como una etiqueta de Google o un código de píxel de Facebook.
Captura de pantalla de AkamaiSin embargo, lo que hace el código es formularios de entrada de destino para la información de la tarjeta de crédito.
También sirve como intermediario para realizar ataques en nombre del atacante, encubriendo así el verdadero origen de los ataques.
Skimmer estilo Magecart
Un ataque Magecart es un ataque que ingresa a través de una vulnerabilidad existente en la propia plataforma de comercio electrónico.
En WordPress y WooCommerce podría ser una vulnerabilidad en un tema o complemento.
En Shopify podría ser una vulnerabilidad existente en esa plataforma.
En todos los casos, los atacantes se aprovechan de las vulnerabilidades que están presentes en la plataforma que utilizan los sitios de comercio electrónico.
Este no es un caso en el que haya una sola vulnerabilidad que pueda corregirse convenientemente. Es una amplia gama de ellos.
El informe de Akamai afirma:
“Antes de que la campaña pueda comenzar en serio, los atacantes buscarán sitios web vulnerables para que actúen como “anfitriones” del código malicioso que se usa más tarde para crear el ataque de robo de datos web.
…Aunque no está claro cómo se violan estos sitios, según nuestra investigación reciente de campañas anteriores similares, los atacantes generalmente buscarán vulnerabilidades en la plataforma de comercio digital de los sitios web objetivo (como Magento, WooCommerce, WordPress, Shopify, etc.) .) o en servicios de terceros vulnerables utilizados por el sitio web.”
Acción sugerida
Akamai recomienda que todos los usuarios de comercio electrónico aseguren sus sitios web. Eso significa asegurarse de que todas las aplicaciones y complementos de terceros estén actualizados y que la plataforma tenga la última versión.
También recomiendan usar un Firewall de aplicaciones web (WAF), que detecta y previene las intrusiones cuando los piratas informáticos exploran un sitio en busca de un sitio web vulnerable.
Los usuarios de plataformas como WordPress tienen múltiples soluciones de seguridad, siendo las más populares y confiables Sucuri Security (endurecimiento del sitio web) y WordFence (WAF).
Akamai recomienda:
“…la complejidad, la implementación, la agilidad y la distribución de los entornos de aplicaciones web actuales, y los diversos métodos que los atacantes pueden usar para instalar skimmers web, requieren soluciones de seguridad más dedicadas, que pueden proporcionar visibilidad del comportamiento de los scripts que se ejecutan dentro del navegador y ofrecer defensa contra ataques del lado del cliente.
Una solución adecuada debe acercarse al lugar donde ocurre el ataque real a los clientes. Debería ser capaz de identificar con éxito los intentos de lectura de campos de entrada confidenciales y la exfiltración de datos (en nuestras pruebas empleamos Akamai Page Integrity Manager).
Recomendamos que estos eventos se recopilen adecuadamente para facilitar una mitigación rápida y efectiva”.
Lea el informe original para obtener más detalles:
Nueva campaña estilo Magecart que abusa de sitios web legítimos para atacar a otros
