Más de 100 sitios de comercio electrónico en todo el mundo están infectados con un código malicioso diseñado para sustraer subrepticiamente los datos de las tarjetas de pago de los visitantes después de realizar compras, informaron investigadores el miércoles. Entre los infectados se encuentran sitios web con sede en EE. UU. que venden equipos dentales, productos para bebés y bicicletas de montaña.
En total, los investigadores de Netlab 360, con sede en China, encontraron 105 sitios web que ejecutaban JavaScript de robo de tarjetas alojado en el dominio malicioso magento-analytics.[.]com. Si bien el dominio devuelve un error 403 a los navegadores que intentan visitarlo, una gran cantidad de magento-analytics[.]com URL aloja el código que está diseñado para extraer el nombre, el número, la fecha de vencimiento y el CVV de las tarjetas de pago que se utilizan para realizar compras. Los sitios de comercio electrónico se infectan cuando los atacantes agregan enlaces que hacen que se ejecute el JavaScript malicioso.
Uno de los sitios infectados identificados por Netlab 360 es ilybean[.]com, una empresa de Orlando, Florida, que vende gorros para bebés. Como muestra la captura de pantalla a continuación, el sitio ejecuta JavaScript alojado en magento-analytics[.]com.
Una revisión rápida de JavaScript, que se encuentra en https://magento-analytics[.]com/5c3b53f75a8cb.js y parcialmente mostrado a la derecha, muestra una pieza de código en expansión. Si bien es difícil de analizar por completo para quienes no son programadores, incluye nombres de variables reveladoras, como verisign_cc_number, shipping:firstname, shipping:lastname, verisign_expiration, verisign_expiration_yr y verisign_cc_cid. Las funciones sugieren que recopila los datos de la tarjeta de pago, y la base 64 los codifica y los desvía.
“Esta no es una campaña nueva, ya que el dominio ya existe desde hace varios meses, pero es una de las más activas, según nuestras estadísticas de telemetría”, dijo Jérôme Segura, jefe de inteligencia de amenazas del proveedor de seguridad Malwarebytes. Ars. «Bloqueamos un promedio de 100 conexiones diarias a este dominio de usuarios de Malwarebytes que visitan una tienda en línea que ha sido pirateada».
Segura señaló esta consulta de búsqueda que mostró que 203 sitios habían sido afectados por la campaña. Parecía que algunos de los sitios enumerados ya no ejecutaban código alojado en magento-analytics[.]com, muy probablemente porque habían sido desinfectados después de ser indexados.
La mayoría de los compromisos informados por Netlab 360 parecen estar afectando a sitios de nicho, pero al menos seis de ellos son parte del top 1 millón de Alexa. Incluyen:
- mitsosa[.]com
- alkoholeswiata[.]com
- spieltraum-tienda[.]Delaware
- haba ilibia[.]com
- venta mtb[.]com
- ucc-bd[.]com
Ars confirmó que los seis sitios estaban llamando a JavaScript alojado en magento-analytics[.]com en el momento en que se informó de esta publicación. Ars se puso en contacto con cada uno de los seis sitios para buscar comentarios para esta publicación, pero no había recibido una respuesta de ninguno de ellos en el momento en que se publicó esta publicación.
Los compromisos informados por Netlab 360 son parte de una serie de infecciones que salieron a la luz a fines del año pasado y afectaron, entre otros, sitios de British Airways, Newegg y otras siete empresas con más de 500,000 visitantes colectivos por mes. En un caso, un solo sitio fue infectado por dos grupos de skimming que competían entre sí. Los compromisos seguían siendo fuertes desde hace dos meses.
Los registros históricos de IP y whois muestran que magento-analytics[.]com no tiene relación con Magento, el CMS de comercio electrónico que Adobe adquirió el año pasado. Los atacantes probablemente eligieron el nombre para confundir a los administradores de los sitios infectados.
La lista completa de sitios en el informe de Netlab 360 es:
tenencias directas[.]com
administrador[.]sieger-trophaen[.]Delaware
equipo de aventura[.]com[.]es
alkoholeswiata[.]com
alfathermalsystems[.]com
ameta-anson[.]com
grupoameta[.]com
ametaoeste[.]com
pan armenio[.]com
empresaautosport[.]nl
bagboycompany[.]com
álbum de cartón[.]negocio
álbum de cartón[.]com
álbum de cartón[.]red
álbumes de cartón[.]negocio
álbumes de cartón[.]red
burmabibas[.]com
bolsos de viajero de negocios[.]com
ropa-electrónica[.]es
cltradingfl[.]com
colorsecretspro[.]com
connfab[.]com
cupidonlenceria[.]es
devantsporttoallas[.]com
distribuidor de cuchillas de diamante[.]com
digital-2000[.]com
emersonstreetclothing[.]com
Igualdad[.]com
Igualdad[.]co[.]Reino Unido
Igualdad[.]Delaware
UE[.]dosjoyas[.]com
puerta de entrada[.]red
musica fitness[.]com
fluttereyewear[.]com
freemypaws[.]información
tiendagabel[.]ch
gosuworld[.]com
hotelcatedral[.]ser
huntsmanproductos[.]com[.]es
piña icónica[.]com
haba ilibia[.]com
imitsosa[.]com
jasonandpartners[.]com[.]es
jekoshop[.]com
jekoshop[.]Delaware
fiebre de la selvaamerica[.]com
kermanigbakery[.]com
kermanigfoods[.]com
reyes2[.]com
koalabi[.]com
lamajunio[.]com
li375-244[.]miembros[.]linodo[.]com
libertadboutique[.]com[.]es
relámpagocornhole[.]com
iluminación-directa[.]com[.]es
iluminacion[.]com
licoreshonline[.]com
lojacristinacairo[.]com[.]hermano
formadores de mag[.]com
maxqsupport[.]com
mdcpublishers[.]com
meizitangiland[.]com
monsieurplus[.]com
venta mtb[.]com
noirnyc[.]com
nyassabathhandbody[.]com
pgmetalshop[.]com
huertarosa[.]com
adicto a la pizza[.]red
powermusic[.]com
prestigio y fantasía[.]com
bolsa de prestigio[.]com
prestigio[.]com
prestigepakinc[.]com
guapasalonusa[.]com
promusica[.]es decir
qspproductos[.]com
qspproductos[.]nl
qspracewear[.]nl
Derechahp[.]com
safarijewelry[.]com
schogini[.]negocio
tiendaatsimba[.]com
spaventilador[.]nl
spieltraum-shop[.]Delaware
cobertizo de almacenamiento[.]com
elegantemodausa[.]com
mochila[.]co[.]Reino Unido
svpmobilesystems[.]com
herramientas de trabajo[.]com
tiroler-kraeuterhof[.]a
tiroler-kraeuterhof[.]com
tiroler-kraeuterhof-naturkosmetik[.]com
ucc-bd[.]com
ussi-md[.]com
utvcubrir[.]com
vezabands[.]com
vitibox[.]co[.]Reino Unido
walterherramienta[.]información
walterherramienta[.]organización
walterherramientas[.]com
musica de entrenamiento[.]com
No existe una manera fácil de que las personas sepan con certeza si un sitio de comercio electrónico en el que navegan está infectado. Malwarebytes y muchos otros programas de seguridad de punto final bloquearán las campañas más conocidas, pero las nuevas aparecen con tanta frecuencia que no se puede esperar que estos productos las atrapen todas. Las personas nunca deben usar tarjetas de débito al realizar compras en línea. Los usuarios de tarjetas de crédito deben asegurarse de revisar sus estados de cuenta cada mes en busca de cargos fraudulentos. Las personas también pueden considerar el uso de tarjetas temporales que tienen líneas de crédito pequeñas y fijas.
Publicación actualizada para eliminar mockberg[.]com y electrodomesticosrepuestos[.]com[.]au de la lista. Los representantes de los sitios dijeron que eliminaron la referencia a magento-analytics[.]com. mes[.]com[.]au también se eliminó, después de que la empresa eliminó la misma referencia.
