BLOG

El lío que montó de Magecart

Miniatura F5
F5
Publicado el 1 de julio de 2019

A medida que nos acercamos al verano con barbacoas, partidos de béisbol y diversión en el patio, no se sorprenda demasiado si se pregunta cuál fue la principal causa de las infracciones en los sectores minorista, tecnológico y de fabricación durante el último año. Según F5 Labs, es Magecart .

¿Qué es Magecart? Magecart es en realidad un término dado a un grupo de unidades de delitos cibernéticos. Al menos una docena de grupos son responsables, y cada uno tiene su propia especialidad. Por ejemplo, el Grupo 5 está implicado en el ataque a Ticketmaster en 2018. Pero este tipo de ataques viene ocurriendo desde 2014, empezando por el Grupo 1.

El grupo comenzó explotando servidores vulnerables o comprometiendo páginas de carritos de compra. Cambiarían el contenido, el código y los scripts con su propio software malicioso para robar tarjetas de crédito y datos personales.

Han avanzado hasta un punto en el que ahora pueden extraer información de pago mediante un ataque de inyección de código web distribuido mediante servicios de publicidad de terceros. Los atacantes comprometerán un servicio de publicidad e inyectarán código malicioso. Luego, la biblioteca de JavaScript comprometida se carga en el sitio web de comercio electrónico al que sirve el servicio de publicidad. Mientras los clientes ingresan la información de su tarjeta de crédito, el skimmer trabaja en segundo plano para robar los datos. Una vez que se captura eso, ya conoces la rutina, se almacena en un servidor y se comunica, va a vendedores/compradores clandestinos, ellos compran bienes o vuelven a rayar un espacio en blanco y no tienes idea de lo que sucedió.

Ticketmaster (como se mencionó anteriormente), New Egg, Sotheby’s y British Airways han sido víctimas. De hecho, en el caso de Ticketmaster, no fueron ellos mismos los que sufrieron una vulneración directa, sino su proveedor externo, el que se vio comprometido. El módulo JavaScript personalizado creado para Ticketmaster fue reemplazado por el código skimmer digital. Pero no fueron los únicos. Cientos de sitios han sido comprometidos de esta manera.

Poner en peligro los sistemas de terceros es una excelente manera de obtener acceso a un objetivo. A menudo, son empresas más pequeñas con menos capas de seguridad. Y tienen acceso directo al objetivo. ¿Recuerdas aquellos días en que los ataques llegaban a través de una conexión de red backend que no estaba correctamente segmentada o protegida con algún tipo de autenticación? Es más o menos lo mismo, salvo que ahora son anuncios digitales. Deje que otra persona haga la entrega por usted.

El robo de tarjetas digitales resulta atractivo para los delincuentes porque tiene grandes posibilidades de éxito y es relativamente fácil. Otros ataques requieren cosas como malware, compromiso directo o incluso ingeniería social para tener éxito. Se requiere tiempo, esfuerzo y, a veces, experiencia. Y la tasa de éxito en comparación con Magecart es menor. ¿Por qué no aprovechar la oportunidad fácil y obtener grandes ganancias?

La otra razón por la que tiene éxito es que es casi imposible que el cliente lo detecte. Mientras usted se encuentra en el proceso emocional de ingresar con entusiasmo su información de pago para el envío gratuito, el skimmer se encuentra invisiblemente sobre el campo para obtener sus datos. Tradicionalmente, los skimmers eran “complementos” físicos para cosas como cajeros automáticos, gasolineras y quioscos de caja. Podría ser algo que cubra el inserto real o una membrana delgada diseñada para integrarse con la máquina. Puede frustrar estas amenazas físicas observando bien dónde introduce la tarjeta o pasando el dedo por la ranura para detectar algo fuera de lo común. En el caso digital, es prácticamente invisible. No es de extrañar que los ataques de inyección permanezcan en lo más alto del Top 10 de OWASP.

Los atacantes siempre están iterando en su código para evitar ser detectados. Ofuscación, cifrado e incluso interrupción y desactivación de otro software de clonación de tarjetas que pueda estar ya ejecutándose en el sitio. En un caso, el script también limpiaba constantemente los mensajes de la consola del depurador del navegador para impedir la detección y el análisis. El script del Grupo 12 llega incluso a comprobar la URL en busca de palabras clave como «facturación», «pago» y «compra», según TrendMicro. Incluso incluyeron la localización al incluir la palabra francesa para cesta, «panier», y la palabra alemana para caja, «kasse». Una vez que detecta las cadenas seleccionadas, el script comenzará a escanear y cada víctima recibirá un número aleatorio generado para identificarlas. Una vez que la víctima cierra o actualiza el navegador, se activa otro evento de JavaScript que envía los datos de pago capturados, la etiqueta electrónica (número aleatorio) y el dominio de comercio electrónico a un servidor remoto.

Magecart es una gran amenaza activa que podría ser mayor que las violaciones de puntos de venta en Target o Home Depot, según RiskIQ . Aunque los investigadores están tomando conciencia de este riesgo, eso no significa que puedan detectar todos los ataques. Los criminales son inteligentes.

Como ocurre con muchas amenazas a la seguridad, un enfoque en capas o de defensa en profundidad es clave. Obviamente es importante parchear todos los servidores y segmentar los sistemas sensibles. También es importante garantizar que todas las extensiones y sistemas de terceros estén actualizados. También es importante asegurarse de que el contenido y los archivos que se entregan a través de una CDN (fuente externa) u otros dominios no hayan sido alterados ni manipulados. Y, sin duda, un WAF con firmas o conjuntos de reglas centrados en vulnerabilidades conocidas que Magecart explota puede ayudar.

Estos ataques están en constante evolución, se vuelven más sofisticados y buscan nuevos testaferros. Y los ataques a la cadena de suministro brindan a los delincuentes acceso a miles de sitios. De repente.

Por último, cualquier violación de datos es una buena lección para revisar periódicamente los estados de cuenta de tarjetas de crédito, bancarios y financieros para detectar cualquier actividad inusual. Véalo, repórtelo.

Si desea obtener una visión más profunda de Magecart y otras vulnerabilidades de inyección, diríjase a F5 Labs para ver su Informe de protección de aplicação 2019, Episodio 3: Los ataques de inyección web se vuelven más crueles .