Hoy en día, existen ya más de diez grupos que componen a MageCart, hackers que se encargan de sustraer información de tarjetas de crédito en tiendas online. Sin embargo el 4° grupo identificado ha llevado sus ataques informáticos a un nuevo nivel, ideando nuevos métodos, minimizando los riesgos y aplicando mejoras.
Una investigación reveló las nuevas tácticas utilizadas, los dominios asociados e identificados con la operación de Skimming (robo de información de tarjetas de crédito utilizado en el momento de la transacción) del presente grupo son simplemente proxies que apuntan hacia una gran red interna. Después de aplicar un filtro inicial, estos proxies de skimmer (o Script benigno cuando el visitante no está realizando un pago) solicitan una llamada a un backend que proporciona el script del skimmer como tal.
Para mantener su actividad ahora utilizan varias bibliotecas benignas para ocultar el nuevo skimmer en una página de pago hasta que este se active. Además, el grupo redujo las posibilidades de ser detectado o de bajar la infraestructura que utilizan, al agregar grupos de aproximadamente 10 direcciones IP secuenciales en aproximadamente cinco hostings diferentes.
La lista de víctimas que han sido comprometidos o afectados bajo estos ataques incluyen grandes nombres, como Ticketmaster, British Airways, y Newegg. Normalmente, los ciberdelincuentes buscan maximizar sus ganancias con el menor riesgo y esfuerzo posible, por lo que comprometen los recursos utilizados por múltiples sitios web.
Los widgets y las bibliotecas de JavaScript que se cargan al finalizar la compra han sido identificados y asociados a estos ataques. Cuantos más sitios web utilicen un activo comprometido (en este caso un módulo de transacciones de x sitio web), mayor será el rango y víctimas para los ciberdelincuentes.
Para mas información consultar el link de referencia en donde se detalla el procedimiento utilizado para identificar los ataques y IoC (Indicadores de Compromiso).
Para mas información consultar el link de referencia en donde se detalla el procedimiento utilizado para identificar los ataques y IoC (Indicadores de Compromiso).
REFERENCIA
COMENTARIOS