Los expertos de Malwarebytes descubrieron que los piratas informáticos de MageCart usan una especie de esteganografía, ocultan los skimmers web en metadatos de imagen EXIF y también usan imágenes para extraer datos robados.
Permítame recordarle que inicialmente el nombre MageCart fue asignado a un grupo de piratas informáticos, que primero comenzó a usar los llamados skimmers web en sitios web para robar datos de tarjetas bancarias. Los piratas informáticos piratean sitios y luego inyectan código malicioso en sus páginas que escribe y roba los datos de la tarjeta de pago cuando los usuarios los ingresan durante el pago.
Este enfoque tuvo tanto éxito que el grupo pronto adquirió numerosos imitadores, y el nombre MageCart se convirtió en un nombre familiar, y ahora se les designa una clase completa de tales ataques. Y si en 2018, los investigadores de RiskIQ identificaron 12 de esos grupos , a fines de 2019, según IBM , ya había unos 40 de ellos.
Permítanme recordarles que recientemente, los expertos de Malwarebytes ya le dijeron a la campaña MageCart, para cuya implementación el grupo de piratas creó un sitio malicioso para alojar favicon y enmascarar códigos maliciosos. Un nuevo informe de expertos habla sobre actividades maliciosas similares.
En un directorio abierto de un sitio comprometido sin nombre, los investigadores pudieron encontrar una copia del código fuente del kit de descremado, lo que nos permitió recopilar mucha información nueva y notar que el archivo favicon.ico habitual contiene un script incrustado dentro del campo Copyright.
Según los expertos, el ataque de los atacantes se construye de la siguiente manera: el skimmer web se encontró en los metadatos del archivo EXIF, que fue descargado por tiendas en línea pirateadas con el complemento WooCommerce para WordPress a bordo. Se agregó un código extraño para descargar una imagen peligrosa a un script legítimo publicado en los sitios por los propios propietarios de la tienda.
Fue posible rastrear la actividad maliciosa en el sitio cddn [.] Site, desde el cual se descargó el archivo favicon malicioso. Al final resultó que, los atacantes usaron favicon, idéntico a los de las tiendas comprometidas, y el skimmer web se cargó desde el campo Copyright en los metadatos de la imagen usando la etiqueta <img>.
No es difícil adivinar, este skimmer web, como otro malware similar, robó el contenido de los campos de entrada, donde los clientes ingresaron su nombre, dirección de facturación, detalles de la tarjeta de crédito, etc. Cuando se recopiló la información, el skimmer cifró los datos recopilados, dio vuelta la línea y, a través de una solicitud POST, transfirió la información robada al servidor remoto a sus operadores también en forma de un archivo de imagen. Obviamente, los atacantes decidieron ser consistentes y usaron imágenes para ocultar datos en todas las etapas del ataque.
Los expertos de Malwarebytes también pudieron descubrir una versión temprana de este skimmer, en la que no había ofuscación inherente a la última iteración. En general, esta versión tenía las mismas funciones, pero estudiar el comportamiento de ambas variaciones del malvari nos permitió concluir que este desarrollo puede pertenecer al grupo número 9 de MageCart.
0 Comentarios