Ataque digital: Ciberdelincuentes roban datos de tarjetas de crédito en páginas de compra en línea en EE. UU.

Un nuevo informe FLASH del FBI advierte sobre actores cibernéticos que extraen datos de tarjetas de crédito de páginas de pago en línea comprometidas de negocios estadounidenses.

Índice de Contenido
  1. Todo comienza con una compromiso
  2. Más puertas traseras y herramientas
  3. El skimming de tarjetas de crédito es una tendencia creciente
  4. Cómo protegerse de la amenaza

Todo comienza con una compromiso

Según el FBI, un negocio estadounidense fue targeteded en septiembre de 2020 por un actor de amenazas no identificado, quien insertó código PHP malicioso en la página de pago del sitio web de la empresa objetivo.

La página de pago fue modificada para incluir un enlace a otro código llamado "cart_required_files.php". A su vez, ese archivo conducía a otro script PHP malicioso denominado "TempOrders.php", que contenía código para extraer y Sustraer datos de clientes desprevenidos del carrito de compras. Cada usuario que compraba algo en ese sitio web comprometido enviaba sin saberlo sus datos de tarjeta de crédito a los estafadores.

VER: Política de seguridad de dispositivos móviles (Newsmatic Premium)

La forma en que los datos se enviaban a los estafadores consistía en establecer una conexión y enviar los datos a un dominio de processamiento de tarjetas falsificado, authorizen.net. El nombre de dominio es muy similar al de una compañía legítima de processamiento de tarjetas, authorize.net.

Según Newsmatic, el dominio fraudulento se registró en diciembre de 2016, y los usuarios sospechosos de Internet han reportado su uso fraudulentos al menos desde noviembre de 2018. El alojamiento de authorizen.net ha cambiado varias veces desde 2016, solo en servidores rusos y rumanos.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Más puertas traseras y herramientas

El actor de amenazas instaló dos puertas traseras diferentes en el sitio web comprometido.

La primera puerta trasera consistía en insertar una línea de código en el proceso de inicio de sesión del sitio web. Al ejecutarse, el sistema descargaba un web shell PAS completamente funcional en el servidor web de la empresa afectada, según el FBI. El web shell PAS, también conocido como Fobushell, fue creado por un desarrollador ucraniano apodado Profexer y ha estado presente desde 2016. Se puede encontrar una versión modificada en línea. El web shell está compuesto de miles de líneas de código PHP, brindando una interfaz cómoda para que los atacantes operen directamente en el sitio web de las víctimas (Figura A).

Figura A

La segunda puerta trasera instalada por el actor de amenazas desconocido utilizaba una expresión regular para insertar y ejecutar código presentado como una variable de solicitud HTTP llamada "u" (Figura B).

Figura B

Ataque digital: Ciberdelincuentes roban datos de tarjetas de crédito en páginas de compra en línea en EE. UU. - Seguridad | Imagen 1 Newsmatic

Cómo proteger tu computadora de los virus: métodos y consejos

Otro web shell llamado B374K fue utilizado por el actor de amenazas con fines de puerta trasera. Una vez más, es posible encontrar este web shell en Internet, lo que facilita que cualquier ciberdelincuente lo posea y use.

El atacante también utilizó una herramienta legítima llamada Adminer, una herramienta de manejo de bases de datos basada en PHP. La herramienta se puede utilizar para administrar el contenido de la base de datos MySQL.

El skimming de tarjetas de crédito es una tendencia creciente

Un número creciente de actores de amenazas se especializan en este tipo de ciberdelito. Magecart, por ejemplo, es un grupo de actores que apuntan a miles de sitios web para recopilar datos de tarjetas de crédito, activos desde 2016.

La actividad de skimming también ha aumentado en los últimos tiempos debido a la disponibilidad de kits de skimming a precios relativamente bajos. Una investigación reciente reveló que el servicio de skimming de CaramelCorp ofrecía una suscripción de por vida por $2,000 USD, lo que facilitaba que ciberdelincuentes con un nivel técnico bajo ingresaran al juego y comenzaran a recopilar números de tarjetas de crédito para su posterior fraude y robo de dinero.

Cómo protegerse de la amenaza

Como siempre, la primera recomendación es actualizar y parchear los sistemas operativos y todo el software y código que se están ejecutando en el sitio web. Esto disminuirá en gran medida las probabilidades de ser comprometido con una vulnerabilidad conocida.

Dave Cundiff, CISO en Cyvatar, le dijo a Newsmatic que "verificar y monitorear continuamente la ciberseguridad fundamental de una organización es un requisito en estos días. Si los fundamentos de la seguridad de una organización no son sólidos, entonces la complejidad adicional de cualquier seguridad adicional es inútil. Casi todos los ataques o compromisos que hemos estado rastreando en los últimos años podrían haberse prevenido o al menos haber reducido el impacto siguiendo el enfoque básico de la higiene de la seguridad fundamental".

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

También se debe realizar una supervisión cuidadosa de las aplicaciones web y el servidor para detectar acceso no autorizado o actividades anómalas en el servidor web.

También se debe configurar la autenticación de múltiples factores para cada empleado que necesite acceder a cualquier parte del servidor web o los datos manejados por el servidor web. Las credenciales predeterminadas, si las hay, también deben eliminarse por completo.

También se deben realizar verificaciones permanentes de integridad del contenido web, y se deben implementar soluciones de seguridad de filtrado de contenido y monitoreo de archivos. Dado que los actores de amenazas están modificando sistemáticamente scripts legítimos del sitio web para implementar sus puertas traseras o permitir el robo de datos de tarjetas de crédito, cualquier cambio en un archivo estático fuera de cualquier proceso de actualización debe ser señalado e investigado de inmediato. Se debe prestar especial atención a los scripts, como archivos PHP, JS o ASPX. Cualquier archivo nuevo creado en el servidor web debe generar una alerta y debe ser investigado.

Ron Bradley, vicepresidente en Shared Assessments, insiste en que "si tienes un sitio web, especialmente uno que realiza transacciones financieras, y si no tienes FIM implementado, entonces no quiero comprar allí. Además, te verás acosado por los actores maliciosos porque no tienes tus asuntos en orden. Es un hecho bien conocido que los datos de tarjetas de crédito siempre han sido una joya preciada para los estafadores. Me resulta fascinante cuando una empresa tiene datos de tarjetas comprometidos cuando fácilmente podrían haber implementado medidas probadas en la práctica. Comprender los controles técnicos que tiene tu organización y las entidades asociadas para defenderse de ataques fundamentales es imperativo en el mundo del comercio electrónico".

Declaración: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.

Protege tus contraseñas con PAM: Tu aliado para la seguridad

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Ataque digital: Ciberdelincuentes roban datos de tarjetas de crédito en páginas de compra en línea en EE. UU. , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.