Los investigadores de seguridad cibernética han impresionado una campaña de malware que roba tarjetas de crédito que se ha observado dirigida a sitios de comercio electrónico que ejecutan magento disfrazando el contenido malvado interiormente de las etiquetas de imagen en el código HTML para permanecer bajo el radar.
Magecart es el nombre cedido a un malware que es capaz de robar información de plazo confidencial de los sitios de compras en raya. Se sabe que los ataques emplean una amplia variedad de técnicas, tanto en el costado del cliente como del servidor, para comprometer los sitios web y implementar skimmers de tarjetas de crédito para entregar el robo.
Por lo militar, dicho malware solo se activa o se carga cuando los usuarios visitan las páginas de plazo para ingresar los detalles de la maleable de crédito sirviendo un formulario traidor o capturando la información ingresada por las víctimas en tiempo verdadero.
El término Magecart es una relato al objetivo llamativo de estos grupos de delitos cibernéticos, la plataforma Magento que ofrece características de plazo y carrito de compras para minoristas en raya. A lo liberal de los abriles, tales campañas adaptaron sus tácticas al ocultar el código malvado mediante la codificación y la ofuscación interiormente de fuentes aparentemente inofensivas, como imágenes falsas, archivos de audio, favicones e incluso 404 páginas de error.
“En este caso, el malware que afecta al cliente sigue el mismo objetivo: permanecer oculto”, dijo el investigador de Sucuri, Kayleigh Martin. “Hace esto disfrazando contenido malvado interiormente de un Protocolo, lo que facilita suceder por parada “.
“Es popular para Etiquetas para contener cadenas largas, especialmente al hacer relato a rutas de archivos de imagen o imágenes codificadas en Base64, pegado con atributos adicionales como la mérito y el orgulloso “.
La única diferencia es que el TAG, en este caso, actúa como un señuelo, que contiene contenido codificado Base64 que apunta al código JavaScript que se activa cuando se detecta un evento OnError. Esto hace que el ataque sea mucho más astuto, ya que el navegador confía inherentemente en la función Onerror.
“Si una imagen no se carga, la función OnError activará el navegador para que muestre un ícono de imagen roto”, dijo Martin. “Sin confiscación, en este contexto, el evento OnError se secuestra para ejecutar JavaScript en circunstancia de solo manejar el error”.
Por otra parte, el ataque ofrece una delantera adicional para los actores de amenaza en que el El sujeto HTML generalmente se considera inocuo. El malware, por su parte, verifica si el sucesor está en la página de plazo y retraso a que los usuarios desprevenidos hagan clic en el pitón Despachar para desviar la información de plazo confidencial ingresada por ellos a un servidor extranjero.
El script está diseñado para insertar dinámicamente una forma maliciosa con tres campos, número de maleable, momento de vencimiento y CVV, con el objetivo de exfiltrarlo a Wellfacing (.) Com.
“El atacante logra dos goles impresionantes con este tema malvado: evitar la detección obediente de los escáneres de seguridad codificando el tema malvado interiormente de un Protocolo, y avalar que los usuarios finales no noten cambios inusuales cuando se inserta la forma maliciosa, permaneciendo sin ser detectada el longevo tiempo posible “, dijo Martin.
“El objetivo de los atacantes que están apuntando a plataformas como Magento, WooCommerce, Prestashop y otros es permanecer sin ser detectado el longevo tiempo posible, y el malware que inyectan en sitios a menudo es más enredado que las piezas de malware más comúnmente encontradas que afectan a otros sitios”.
El ampliación se produce cuando la compañía de seguridad del sitio web detalló un incidente que involucra un sitio de WordPress que aprovechó el directorio MU-Plugins (o complementos de uso obligatorio) para implantar puertas traseras y ejecutar el código PHP malvado de guisa sigilosa.
“A diferencia de los complementos regulares, los complementos de uso obligatorio se cargan automáticamente en cada carga de página, sin escazes de activación o aparecer en la serie de complementos standard”, dijo Puja Srivastava.
“Los atacantes explotan este directorio para sostener la persistencia y evitar la detección, ya que los archivos colocados aquí se ejecutan automáticamente y no están fácilmente deshabilitados del panel de oficina de WordPress”.
