Malware Magecart evadió escaneos de seguridad.Esta infección se demoró en el sitio web de un minorista británico de ropa para exteriores sin ser detectada durante casi ocho meses a pesar de los análisis de seguridad del Malware Magecart.
Antilavadodedinero / TheRegistre
Páramo, con sede en Londres, dijo a los clientes la semana pasada que había descubierto un «pequeño código informático instalado de forma encubierta en nuestro sitio web».
La advertencia continuó: “Este código copió los detalles de la tarjeta ingresados, destinados a PayPal y, además, los envió al servidor del atacante. Los datos transferidos fueron nombre, dirección, número de tarjeta y código CVV «.
El Registro confirmó con Páramo que los datos completos de la tarjeta de 3.743 personas, incluidos todos los puntos de datos necesarios para realizar compras en línea en otros lugares, habían sido robados entre julio de 2019 y marzo de este año. En su mensaje a los clientes, el minorista dijo:
Esto a pesar del hecho de que Páramo emplea Security Metrics, un proveedor de escaneo de seguridad aprobado, para realizar escaneos trimestrales de vulnerabilidad en nuestros sitios web con fines PCI DSS. La codificación permaneció sin descubrir debido a su naturaleza sofisticada.
El director de TI de Páramo, Jason Martin, dijo a The Register que la empresa se enteró por primera vez de que algo andaba mal cuando PayPal, su procesador de pagos elegido, les alertó de que 18 clientes informaron haber sido víctimas de fraude después de realizar compras en Páramo. Al examinar el sitio en busca de pistas, el equipo de Martin descubrió que todo no era como debería haber sido.
«Específicamente, en nuestro caso», explicó Martin, «el método de los piratas informáticos utilizó un archivo PHP que modificó IFRAME src para que todavía cargara el código de PayPal, pero también cargó un archivo JavaScript externo». El archivo JS, denominado gcore.js , estaba alojado externamente en una URL de terceros poco notable.
El Reg pasó el archivo JS malicioso a un investigador de seguridad que pidió no ser identificado. Nos dijeron que el archivo formaba parte del infame malware de skimmer de tarjetas Magecart y que se había observado en la naturaleza desde el verano de 2019, lo que encajaba con el truco de Páramo.
También le pedimos a Cisco Talos que echara un vistazo a la muestra de malware para confirmar. Un portavoz de la compañía acordó que se parecía a Magecart y nos dijo: “Los delincuentes a menudo buscan sistemas web sin parches, o usan credenciales comprometidas, para tomar el control de un sistema e introducir sutilmente una funcionalidad maliciosa que se ejecutará en el navegador.
De esta forma, el malware como Magecart puede capturar datos personales a medida que los visitantes de la web ingresan en su navegador, exfiltrándolos a los delincuentes sin que la información robada necesariamente toque el sistema originalmente comprometido «.
Los ataques a la cadena de suministro, donde las personas malintencionadas se dirigen a esas fuentes de terceros, han sido durante mucho tiempo una espina en el mundo del comercio electrónico .
Si bien el truco de Páramo es relativamente pequeño para una industria de seguridad cibernética hastiada que apenas se da cuenta de tales compromisos a menos que se roben los datos de millones de personas, muchos de los que leen esto probablemente se borrarán la frente y murmurarán «allí, pero por la gracia de los dioses».
Hace un par de años, Magecart fue el método de ataque que robó los detalles de la tarjeta de 380,000 personas de British Airways , mientras que el malware continúa evolucionando a medida que los investigadores tratan desesperadamente de detener su propagación.