Los investigadores de ciberseguridad han descubierto una importante campaña de skimming web que ha estado activa desde enero de 2022, dirigida a varias redes de suscripción importantes como American Express, Diners Club, Discover, JCB Co., Ltd., Mastercard y UnionPay.
“Las organizaciones empresariales que son clientes de estos proveedores de pagos son las que tienen más probabilidades de estar afectadas”, afirmó Silent Push en un mensaje publicado hoy.
Los ataques de skimming digital se refieren a una categoría de ataques del banda del cliente en los que los delincuentes comprometen sitios de comercio electrónico y portales de suscripción legítimos para inyectar código JavaScript zorro que es capaz de compilar sigilosamente información de tarjetas de crédito y otra información personal cuando usuarios desprevenidos intentan realizar un suscripción en las páginas de suscripción.
Estos ataques se clasifican bajo un término común llamado Magecart, que inicialmente se refería a una coalición de grupos de ciberdelincuentes que atacaban sitios de comercio electrónico que utilizaban el software Magento, antiguamente de diversificarse cerca de otros productos y plataformas.
Silent Push dijo que descubrió la campaña luego de analizar un dominio sospechoso vinculado a un proveedor de hosting a prueba de balas, ahora sancionado, Stark Industries (y su empresa matriz PQ.Hosting), que desde entonces cambió su nombre a THE(.)Hosting, bajo el control de la entidad holandesa WorkTitans BV, es una medida de esparcimiento de sanciones.
Se ha descubierto que el dominio en cuestión, cdn-cookie(.)com, alberga cargas bártulos de JavaScript en extremo ofuscadas (por ejemplo, “recorder.js” o “tab-gtm.js”) que cargan las tiendas web para suministrar el robo de tarjetas de crédito.
El skimmer viene con funciones para escamotear la detección por parte de los administradores del sitio. Específicamente, escudriñamiento en el árbol del Maniquí de objetos de documento (DOM) un medio ambiente llamado “wpadminbar”, una remisión a una mostrador de herramientas que aparece en los sitios web de WordPress cuando los administradores registrados o los usuarios con los permisos adecuados están viendo el sitio.
En caso de que el medio ambiente “wpadminbar” esté presente, el skimmer inicia una secuencia de autodestrucción y elimina su propia presencia de la página web. Cada vez que se modifica el DOM de la página web, se intenta ejecutar el skimmer, un comportamiento estereotipado que ocurre cuando los usuarios interactúan con la página.
Eso no es todo. El skimmer todavía verifica si se seleccionó Stripe como opción de suscripción y, de ser así, existe un medio ambiente llamado “wc_cart_hash” en el almacenamiento lugar del navegador, que crea y establece en “true” para indicar que la víctima ya ha sido escaneada exitosamente.
La partida de esta bandera hace que el skimmer genere un formulario de suscripción Stripe mentiroso que reemplaza el formulario verdadero a través de manipulaciones en la interfaz de heredero, engañando así a las víctimas para que ingresen sus números de tarjetas de crédito, conexo con las fechas de vencimiento y los números del Código de demostración de plástico (CVC).
“Como la víctima ingresó los datos de su plástico de crédito en un formulario mentiroso en circunstancia del formulario de suscripción existente de Stripe, que inicialmente fue oculto por el skimmer cuando lo completó inicialmente, la página de suscripción mostrará un error”, dijo Silent Push. “Esto hace que parezca como si la víctima simplemente hubiera ingresado sus datos de suscripción de guisa incorrecta”.
Los datos robados por el skimmer van más allá de los detalles de suscripción e incluyen nombres, números de teléfono, direcciones de correo electrónico y direcciones de remisión. La información finalmente se extrae mediante una solicitud HTTP POST al servidor “lasorie(.)com”.
Una vez que se completa la transmisión de datos, el skimmer sedimento sus rastros de la página de suscripción, eliminando el formulario de suscripción mentiroso que se creó y restaurando el formulario de entrada verdadero de Stripe. Luego establece “wc_cart_hash” en “true” para evitar que el skimmer se ejecute por segunda vez en la misma víctima.
“Este atacante tiene un conocimiento innovador del funcionamiento interno de WordPress e integra características aún menos conocidas en su esclavitud de ataque”, dijo Silent Push.
