El primer día del año 2019, la firma de seguridad Trend Micro detectó el incremento de actividades del grupo Skimmer mediante un código malicioso denominado JS_OBFUS.C, el cual fue cargado a 27 sitios dedicados al comercio electrónico (viajes, reservación de vuelos, cosméticos y marcas de ropa).

Asimismo, se identificó la presencia de otro grupo Magecart Group 12;  quienes comprometen los sitios de comercio electrónico e insertan código JavaScript malicioso en las páginas de pago donde los clientes realizan compras y posteriormente, las envían al servidor remoto de la víctima.

“En el momento de nuestra investigación, los sitios web incorporados con el script de redireccionamiento de Adverline cargaron el código skimming de Magecart Group 12, que a su vez, omite la información de pago ingresada en las páginas web y luego la envía a su servidor remoto”, dijo Trend Micro.

Al ser detectada cualquier cadena de URL, la secuencia de comandos comenzará a realizar el comportamiento de skimmer copiando tanto el nombre del formulario como los valores ingresados ​​por el usuario en el formulario de escritura de la página web. Los datos de pago y facturación robados se almacenan en el LocalStorage de JavaScript con el nombre clave “Caché” en formato Base64.

Por ende, los especialista en seguridad publicaron los COI asociados con la operación de este Grupo 12, que incluye los dominios que los skimmers utilizaron para inyectar su código en los sitios web afectados y recibir la información de pago robada.

Este tipo de ataques demuestran la importancia de proteger las infraestructuras utilizadas para ejecutar sitios web, aplicaciones o aplicaciones web, especialmente aquellas que almacenan y administran datos confidenciales.

“Los softwares se deben parchear y actualizar de forma regular. Los equipos de TI y de seguridad también deben monitorear de forma proactiva sus sitios web o aplicaciones para detectar signos de actividades maliciosas, como el acceso y modificación no autorizados, la extracción de datos y la ejecución de scripts desconocidos” explicó Trend Micro.

Fuente secundaria:

https://thehackernews.com/2019/01/magecart-hacking-credit-cards.html