Investigadores de Malwarebytes reportado sobre la búsqueda de varios skimmers web MageCart en la plataforma de nube Heroku que es propiedad de Salesforce.
yonitially, el nombre MageCart fue asignado a un grupo truco, que fue el primero en utilizar skimmers web en los sitios web para robar datos de tarjetas bancarias. sin embargo, este enfoque resultó ser tan exitoso que el grupo pronto tuvo numerosos imitadores, y el nombre MageCart se convirtió en un término comúnmente utilizado, como ahora que indica una clase de este tipo de ataques.Addtionally, si en 2018 los investigadores identificaron RiskIQ 12 dichos grupos, Ahora, de acuerdo con IBM, ya hay acerca de 38 de ellos.
Esta semana, Malwarebytes expertos anunciaron que a la vez han descubierto varios skimmers MageCart web sobre la plataforma PaaS basado en la nube Heroku.
“Los skimmers encontradas se utilizan en las campañas maliciosas activas, y los hackers detrás de este esquema no sólo utilizan Heroku para colocar su infraestructura y entregar skimmers a sitios diana, pero también se utiliza un servicio para almacenar información de tarjetas robadas”, – representantes dijeron Malwarebytes.
Los investigadores encontraron cuatro Heroku libre de cuentas que las secuencias de comandos de servidor para cuatro terceros vendedores:
- Stark-garganta-44782.herokuapp[.]Com se utilizó contra correcttoes[.]con;
- antigua-sabana-86049[.]Herokuapp[.]Com / configration.js se utilizó contra Panafoto[.]con;
- pura-pico-91770[.]Herokuapp[.]Com / intregration.js se utilizó contra alashancashmere[.]con;
- líquido-matorral-51318[.]Herokuapp[.]Com / configuration.js se utilizó contra amapur[.]De.
Por supuesto, Además de la creación de cuentas heroku, el despliegue de sistemas de recogida de código y datos del skimmer, este esquema también se requiere comprometer los sitios más específicas, pero hasta ahora los investigadores no han establecido la forma en que fueron cortados (aunque algunos sitios web sin parches tenían aplicaciones).
leer también: Los expertos encontraron una conexión entre Carbanak y uno de los grupos MageCart
Los atacantes inyectan una línea de código en los sitios hackeados. El JavaScript incrustado, el que estaba alojado en Heroku, seguimiento de la página actual y detecta una base 64 codificado cadena “Y2hlY2tvdXQ =” – esto significa “check out”, Es decir, “Realizar un pedido”.
“Cuando se detectó la cadena, JavaScript malicioso carga el iframe, el que robó los datos de tarjetas de pago, y se lo pasó (en formato Base64) a la cuenta de Heroku. Un skimmer basado en marcos flotantes funcionó como una superposición que aparece en la parte superior de una forma de pago real “,- dicen los investigadores de Malwarebytes
Los investigadores encontraron varios skimmers web en Heroku a la vez. En todos los casos, los nombres de los guiones fueron asignados de acuerdo a un esquema, y todos ellos ganaron dinero durante la última semana. Todo esto indica que se trata, ya sea obra de un grupo truco, o los atacantes utilizan el mismo código fuente. Parece que los atacantes lanzaron sus operaciones en anticipación de Cyber Monday y la próxima temporada de ventas navideñas.
Malwarebytes expertos en cuenta que el uso de Heroku no es el primer precedente. Asi que, Previamente, expertos ya descubiertas skimmers Magecart en GitHub (abril 2019) y en AWS S3 (junio 2019).
