Skimmers de Magecart vistos apuntando a enrutadores para redes Wi-Fi de clientes

Los investigadores de amenazas de IBM X-Force IRIS han detectado actividad por parte de un grupo conocido de operadores de malware web criminal que parece estar apuntando a enrutadores comerciales de capa 7, el tipo típicamente asociado con redes Wi-Fi que usan «portales cautivos» para cobrar por Internet. acceder o solicitar a los clientes que inicien sesión.

El grupo, llamado «Magecart 5», es una de varias facciones de grupos delictivos originalmente asociados con el «web-skimmer» de Magecart, una clase de malware de robo de tarjetas de pago basado en JavaScript que se ha utilizado en el pasado para apuntar a clientes en e -sitios web de comercio. Los clientes de Ticketmaster, British Airways y NewEgg fueron solo algunas de las víctimas de una serie de exploits de Magecart Rings en 2023, y los operadores de malware continuaron activos en 2023. Según los investigadores, cientos de miles de sitios comerciales se han visto comprometidos. mediante ataques a servicios de terceros.

En el pasado, los ataques de Magecart se han centrado en explotar los componentes de la infraestructura web de los sitios de comercio electrónico de las víctimas. En el caso de British Airways y NewEgg, se comprometió un servidor web y los atacantes agregaron 22 nuevas líneas de código a una biblioteca de JavaScript existente. El código redirigió parte del tráfico a un nombre de dominio similar utilizado para capturar datos de pago. En el caso de TicketMaster, fue el servidor de un proveedor de servicios externo el que se vio comprometido. Y en un ataque a Umbro Brasil, dos pandillas diferentes de Magecart atacaron el sitio, y una de ellas saboteó las operaciones de desnatado de la otra mediante la alimentación de datos falsos.

Ahora estás jugando con portales cautivos

La actividad detectada por los investigadores de X-Force IRIS muestra que Magecart 5 va en una dirección completamente nueva para los ataques de inyección de JavaScript. El tipo de enrutadores en los que se está enfocando el grupo (un tipo específico de enrutador que se usa comúnmente para proporcionar acceso a Internet Wi-Fi gratuito o de pago en aeropuertos, hoteles, centros turísticos e incluso en algunos entornos minoristas) usa portales cautivos para procesar pagos por acceso , aceptar los términos del servicio y, a menudo, mostrar anuncios.

Estos enrutadores también pueden controlar el contenido que se envía a los usuarios, con filtrado de contenido, la carga de páginas intersticiales antes de cargar el sitio deseado y otras manipulaciones potencialmente peligrosas (como la «configuración del tráfico»). Si este tipo de enrutador se viera comprometido, se podría usar un código malicioso para robar los datos de pago de los usuarios durante las sesiones de comercio electrónico a través de la redirección del tráfico a servidores similares, y se podrían inyectar anuncios maliciosos en las páginas web para atacar los dispositivos conectados.

Los investigadores también encontraron evidencia de que el grupo estaba haciendo modificaciones a una biblioteca de aplicaciones móviles de código abierto que se utiliza para crear «controles deslizantes» táctiles para permitir a los usuarios desplazarse por las galerías. «[Magecart 5] es probable que haya infectado este código, corrompiéndolo en su fuente para garantizar que todos los desarrolladores que usen el control deslizante terminarán sirviendo el código malicioso de los atacantes, lo que pondrá en peligro los datos de los usuarios que usan el producto terminado». Eso coincide con Magecart 5 modus operandi de comprometer los recursos de terceros para obtener un efecto más amplio, anotaron los investigadores.