“Se ha detectado una sofisticada campaña de Magecart que está manipulando la página de error 404 predeterminada de sitios web. Este método se utiliza para encubrir código malicioso en lo que se ha catalogado como la más reciente evolución de los ataques.”

En las últimas semanas, ha habido una campaña de robo de información al estilo de Magecart que ha generado graves consecuencias. La particularidad fundamental de esta reciente campaña radica en su aprovechamiento de sitios web legítimos comprometidos para encubrir los ataques en otros sitios web objetivo, camuflándolos detrás de sus propios dominios auténticos.

La meta principal de los ataques de Magecart es sustraer información personal (PII) y datos de tarjetas de crédito de las páginas de pago de sitios web dedicados al comercio en línea. En el pasado, estos ataques se concentraban principalmente en la plataforma Magento para el comercio digital. No obstante, en esta campaña y otras similares, los investigadores de Akamai han logrado identificar ataques dirigidos a sitios web creados con Magento, WooCommerce, WordPress y Shopify. Este hallazgo demuestra la creciente diversidad de vulnerabilidades y plataformas que pueden ser objeto de abuso por parte de los atacantes.

En general, estos ataques pasan desapercibidos para los métodos de seguridad web convencionales, como los firewalls de aplicaciones web (WAF), ya que se ejecutan en el lado del cliente. Esto provoca que los ataques de Magecart puedan permanecer sin detectar durante períodos extensos.

Según Akamai, En las últimas semanas, han detectado una campaña activa en curso que emplea infraestructuras sofisticadas y capacidades avanzadas para llevar a cabo ataques de robo de información web al estilo de Magecart. Además, han identificado numerosos sitios web de comercio en línea que han sido víctimas de esta campaña. Es plausible suponer que hay más sitios web legítimos que también han sido objeto de ataques como parte de esta extensa campaña.

Un ataque a gran escala y a largo plazo

“Como era de esperarse, el enfoque principal de esta campaña recae en las organizaciones de comercio. No obstante, es sorprendente la magnitud de este ataque. Algunas de las organizaciones afectadas reciben cientos de miles de visitantes mensuales. Esto significa que el robo de datos de tarjetas de crédito y PII podría alcanzar a miles, incluso decenas de miles de personas.

Lo preocupante es que muchas de estas víctimas no han detectado el ataque durante casi un mes, lo que amplifica el potencial de daño. Además, los investigadores de Akamai han identificado los impactos de esta campaña en organizaciones de Estados Unidos, Reino Unido, Brasil, España, Australia, Estonia y Perú.

Los ataques de robo de información en la web pueden generar un gran perjuicio a las organizaciones de comercio digital. La pérdida de PII y datos de tarjetas de crédito puede afectar negativamente la reputación de estas organizaciones, entre otras consecuencias. Resulta preocupante que muchos de los ataques significativos de Magecart pasaron desapercibidos durante meses, e incluso años. De los 9,290 dominios de comercio digital atacados por Magecart en el año 2022, 2468 aún estaban infectados activamente al finalizar dicho año, lo que subraya su condición de amenaza importante para las organizaciones comerciales.”

El ataque previo al ataque: Preparación de la infraestructura del ataque

Antes del inicio de la campaña de robo de información web, los atacantes llevan a cabo una etapa previa esencial: la preparación de la infraestructura para el ataque. Uno de los aspectos más notables de esta campaña es cómo los atacantes organizan su infraestructura.

Previo al inicio de la campaña, los atacantes buscan sitios web vulnerables que actuarán como ‘hosts’ para su código malicioso. En lugar de usar su propio servidor C2 para alojar el código, lo ocultan en sitios legítimos y vulnerables, como los de pequeñas y medianas empresas. Así, crean un aparente lugar seguro para su código malicioso y lo entregan a la víctima seleccionada.

En resumen, esta campaña involucra dos tipos de víctimas:

  1. Víctimas anfitrionas: Son sitios web legítimos que son tomados por los atacantes para alojar el código malicioso utilizado en el ataque. Estos sitios se convierten en parte de la infraestructura del ataque, actuando como servidores controlados por los atacantes. Al hacerlo en sitios que normalmente operan de manera legítima, se reduce la probabilidad de que las víctimas sospechen al conectarse a ellos, ya que se esconde la actividad maliciosa tras un dominio con buena reputación.
  2. Víctimas de robo de información web: Son sitios web de comercio vulnerables a los que los atacantes dirigen mediante el ataque de robo de información web de tipo Magecart. En lugar de inyectar directamente el código de ataque en los recursos del sitio web, utilizan fragmentos pequeños de código JavaScript como cargadores para obtener el código de ataque completo desde el sitio web de la víctima anfitriona. Este método permite ocultar gran parte del código malicioso usado en el ataque.

Aunque no se comprende completamente cómo estos sitios son atacados, nuestra investigación previa sobre campañas similares, los atacantes suelen buscar vulnerabilidades en la plataforma de comercio digital de los sitios web objetivo (como Magento, WooCommerce, WordPress, Shopify, etc.) o en servicios externos vulnerables que estos sitios utilizan.

Investigadores de Akamai

Los investigadores de Akamai identificaron un número limitado de sitios web que actúan como víctimas anfitrionas. Estos sitios, en su mayoría, parecen ser de comercio. En ciertos casos, los sitios utilizados como anfitriones muestran un doble abuso: se utilizan para alojar código malicioso y también sufren un ataque de robo de información web de tipo Magecart. Esto conduce a la pérdida de datos del usuario. No solo son comprometidos para el robo de datos mediante la inyección de código, sino que también, sin saberlo, se convierten en vehículos para propagar las actividades maliciosas del ataque de robo de información hacia otros sitios web vulnerables.

Oculto a simple vista: La carga del código malicioso en los sitios web de la víctima

Una vez que la infraestructura está lista, los atacantes buscan objetivos que utilicen plataformas de comercio digital o servicios de terceros vulnerables para inyectar el código del ataque de robo de información web. Los atacantes emplean una técnica ingeniosa: inyectan un fragmento de código JavaScript directamente en las páginas de los sitios web objetivo (es decir, el script forma parte del HTML, no se carga desde un archivo externo). Este fragmento funciona como un cargador y recupera el código malicioso completo de los sitios web anfitriones de la etapa anterior.

Específicamente, el diseño del fragmento inyectado está hecho a propósito para parecerse a servicios de terceros conocidos, como Google Tag Manager o Facebook Pixel. Este enfoque se ha vuelto popular en las campañas de robo de información web en los últimos años, ya que permite la integración fluida del código malicioso, ocultando sus verdaderas intenciones.

Además, para ocultar la URL de los sitios web explotados que alojan el código de ataque completo, el ataque de robo de información utiliza la codificación Base64 (ver Figura 1). Esta técnica es la preferida en los ataques de robo de información, ya que logra enmascarar el origen y el propósito del código.

Fig. 1: fragmento de código JavaScript malicioso que suplanta un fragmento de Google Analytics y que se utiliza como cargador del ataque

Al hacerlo, el atacante usa tres métodos para evitar ser detectado: 

  1. Ocultar el dominio utilizado en el ataque. 
  2. Enmascarar de forma hábil el cargador para hacerlo pasar por un proveedor o script legítimo externo.
  3. Reducir la cantidad de código malicioso que se debe inyectar en la página mediante la extracción de la mayor parte del código de otras fuentes, lo que reduce en gran medida la posibilidad de que se descubra el código.

Una vez inyectado el cargador, se robarán los datos personales y la información de la tarjeta de crédito de cualquier usuario que intente pagar en el sitio web de la víctima del ataque de robo de información web y se enviarán al servidor C2 de los atacantes. 

“El propósito de separar el ataque en tres partes es ocultarlo de manera que sea más difícil de detectar”, explicó Lvovsky. Esto hace que el ataque sea más discreto y más difícil de detectar por parte de los servicios de seguridad y herramientas de escaneo externas que puedan estar instaladas en el sitio web objetivo.

Análisis del código: ataque de Magecart oculto

Según Akamai. Durante el examen, identificamos dos variaciones distintas del código del ataque de robo de información. 

La variación inicial mostró un gran grado de ocultación, lo que dio como resultado una mayor complejidad cuando intentábamos descifrar su flujo y estructura lógica. El atacante se vale de la ocultación como táctica para interferir con la depuración y la investigación, lo que dificulta deliberadamente el conocimiento de la secuencia precisa del ataque.

La ocultación del código malicioso es una práctica adoptada de forma generalizada entre diversos ataques de robo de información web y ha ganado mayor popularidad en numerosas campañas de los últimos años (Figura 2).

Fig. 2: código malicioso: variación 1

Después de decodificar las cadenas en Base64 integradas en el código oculto, detectamos una lista de selectores de hojas de estilo de cascada (CSS, del inglés Cascading Style Sheets). Estos nombres de selector indicaban de forma explícita que los campos con información objetos del ataque de robo de información son los encargados de capturar PII y datos de la tarjeta de crédito. 

La presencia de estos selectores de CSS en el código decodificado aporta una prueba definitiva de la intención maliciosa del ataque de robo de información. Al usar específicamente los campos de entrada utilizados para recopilar datos confidenciales de los usuarios, los objetivos del ataque de robo de información quedan claros: interceptar y exfiltrar PII y datos de la tarjeta de crédito con fines ilegales. También hace alusión a un nivel de recopilación de información; para que estos campos de información coincidan, el atacante debe “adaptar” el código a cada una de las víctimas (Figura 3).

Fig. 3: nombres de campo confidenciales descodificados que son el objetivo de los ataques de robo de información

La segunda variación del código malicioso detectado en esta campaña estaba menos oculto, lo que facilitó su comprensión y análisis. Como ocurre con la primera variación, las cadenas que podrían mostrar las intenciones del código estaban codificadas en Base64, lo que nos permite descifrar fácilmente su significado (Figura 4).

Lo que hace que la segunda variación sea interesante es la presencia de determinados indicadores dentro del código; estos indicadores representaban pistas valiosas, lo que nos permitió identificar más sitios web de víctimas e instancias asociadas con esta campaña. 

Fig. 4: código malicioso: variación 2

Exfiltración de los datos robados

El proceso de exfiltración de los datos robados se lleva a cabo a través de una solicitud HTTP directa, que se inicia mediante la creación de una etiqueta IMG dentro del código del ataque de robo de información. Luego, los datos robados se adjuntan a la solicitud como parámetros de consulta, codificados como una cadena en Base64 (Figura 5).

Para ocultar los datos transmitidos, el ataque de robo de información los codifica como una cadena en Base64. Con esta técnica de codificación se consigue una capa de ocultación, lo que hace más difícil que los sistemas de seguridad y las herramientas de supervisión de red puedan identificar la exfiltración de información confidencial. Cuando los datos codificados en Base64 llegan al servidor del atacante, se pueden decodificar fácilmente a su formato original, lo que deja expuestos tanto la PII como los datos de tarjetas de crédito robados.

La exfiltración solo se producirá una vez por cada usuario que realice el proceso de pago. Una vez que se roba la información de un usuario, el script marcará el navegador para asegurarse de que no robe la información dos veces (para reducir el tráfico de red sospechoso). Esto aumenta aún más la evasividad de este ataque de tipo Magecart.

Fig. 5: exfiltración de datos mediante la etiqueta IMG, que inicia una solicitud HTTP al servidor de mando y control (C2) del ataque de robo de información con parámetros de consulta codificados en Base64

Recomendaciones y mitigaciones de seguridad

Para ejecutar un robo de datos en línea, los atacantes necesitarán obtener acceso inicial al servidor, ya sea explotando una vulnerabilidad o utilizando alguno de los scripts de terceros disponibles. Para prevenir este acceso inicial al servidor, se aconseja a los expertos en seguridad aplicar los últimos parches y complementarlos con un firewall de aplicaciones web (WAF, por sus siglas en inglés Web Application Firewall).

No obstante, la complejidad, implementación, agilidad y dispersión de los entornos de aplicaciones web actuales, así como los variados métodos que los atacantes pueden emplear para llevar a cabo ataques de robo de información en línea, requieren soluciones de seguridad más especializadas que permitan observar el comportamiento de los scripts que se ejecutan dentro del navegador y proporcionar una defensa contra los ataques dirigidos al cliente.

Una solución idónea debe estar cerca del lugar donde se efectúa el ataque real a los clientes. Debería poder identificar los intentos de lectura de campos de información confidencial y la extracción de datos. Se recomienda que estos eventos se recojan adecuadamente para facilitar una mitigación rápida y eficaz.

Conclusión

Esta campaña sirve como recordatorio de que el robo de datos en línea sigue siendo una amenaza de seguridad fundamental, ya que los actores maliciosos ajustan constantemente sus tácticas para ocultar sus actividades y complicar su detección. Los nuevos requisitos de seguridad de scripts descritos en el estándar PCI DSS v4.0 también reflejan esta tendencia, ahora se exige que cualquier entidad que procese pagos en línea tenga mecanismos para detectar estos tipos de ataques y responder a ellos.

La solución clave para combatir de forma efectiva los ataques de robo de información en línea radica en el uso de herramientas y tecnologías que permitan detectar comportamientos y anomalías. Las herramientas tradicionales de análisis estático no han logrado contrarrestar los ataques de robo de datos en línea, ya que estos ajustan constantemente sus métodos y emplean técnicas cada vez más sofisticadas que pueden evadir el análisis estático.

Es probable que encontremos campañas similares de forma intermitente, ya que es probable que este juego de gato y ratón continúe. A medida que prosigue la batalla entre defensores y atacantes en cuanto al robo de datos en línea, es fundamental mantener la proactividad e invertir en medidas de seguridad innovadoras. Al adoptar tecnologías de detección avanzadas que se adapten a los cambiantes vectores de ataque, las organizaciones pueden proteger mejor sus plataformas en línea, resguardar los datos de los usuarios y mantener la confianza de sus clientes. La investigación, colaboración y vigilancia continuas son esenciales en la lucha en curso contra las amenazas de robo de información en línea.

fuente: Akamai

You May Also Like

Hackers rusos emplean el malware ‘WINELOADER’ para atacar partidos políticos alemanes

HKN FEED

“Investigación y Desentrañamiento de la Configuración del Malware Lu0Bot en Node.js”

HKN FEED

Google confirma la explotación activa de la vulnerabilidad CVE-2024-32896 y lanza un parche de seguridad para Android

HKN FEED