Magecart, un notorio grupo de ciberdelincuentes conocido por su habilidad para robar datos confidenciales de sitios web de comercio electrónico, ha revelado un esquema tortuoso que aprovecha un elemento aparentemente inofensivo de Internet: la página de error 404. Esta táctica innovadora, descubierta por Akamai Security Intelligence Group, es una de las tres variantes empleadas por Magecart e implica ocultar código malicioso dentro del abismo digital de páginas de error 404 para robar subrepticiamente la información de las tarjetas de crédito de los clientes.
¿Cómo se convirtieron las páginas 404 en el patio de recreo de los ciberdelincuentes?
En este ciberataque orquestado por el grupo Magecart, los piratas informáticos manipulan la página de error 404 de un sitio web: la página que se muestra cuando una página web no existe o tiene un enlace roto. Ocultan código malicioso dentro de esta página aparentemente inocua para robar información de tarjetas de crédito de visitantes desprevenidos. El código oculto presenta un formulario falso a los usuarios, solicitándoles que introduzcan datos confidenciales de su tarjeta de crédito. Estos datos robados luego se transmiten de forma encubierta a los piratas informáticos, disfrazados de solicitudes de imágenes inocentes. El enfoque innovador dificulta la detección, lo que enfatiza la necesidad de medidas sólidas de ciberseguridad para proteger las transacciones en línea y la información del usuario.
Profundicemos en los detalles de cómo funciona realmente este truco de skimming de tarjetas Magecart, que explota las páginas de error 404:
- Selección de objetivos: El primer paso para los piratas informáticos de Magecart es identificar sus objetivos, que incluyen principalmente sitios web de comercio electrónico creados en plataformas populares como Magento y WooCommerce. Algunas víctimas de esta campaña han sido organizaciones destacadas de los sectores alimentario y minorista.
- Ocultación de código malicioso: Una vez elegido el objetivo, los piratas informáticos emplean una técnica innovadora. Manipulan la página de error 404 del sitio web, que es la página que los visitantes ven cuando intentan acceder a una página web que no existe, se ha movido o contiene un enlace inactivo.
- Ocultos a plena vista: En lugar de insertar su código malicioso directamente en el código del sitio web, los actores de Magecart lo ocultan dentro de la página de error 404. Esta táctica es particularmente inteligente porque no se ha visto en campañas anteriores de Magecart. Al hacer esto, tienen una nueva forma de evadir la detección.
- El cargador skimmer: El cargador skimmer es un componente crítico del ataque. Puede adoptar varios disfraces, como aparecer como un fragmento de código de Meta Pixel u ocultarse dentro de secuencias de comandos en línea preexistentes en la página web de pago comprometida.
- Obteniendo recursos inexistentes: El cargador inicia una solicitud de recuperación a una ruta relativa denominada “iconos”. Esta ruta no existe en el sitio web de destino, lo que genera un error “404 No encontrado”. A primera vista, puede parecer un error inocente o un skimmer inactivo.
- Envuelto en comentarios HTML: Sin embargo, tras una inspección más cercana, el cargador contiene una coincidencia de expresión regular que busca una cadena específica dentro del HTML de la página de error 404. Cuando encuentra esta cadena, revela una cadena concatenada codificada en base64 hábilmente oculta dentro de un comentario HTML.
- JavaScript malicioso revelado: Esta cadena codificada en base64, cuando se decodifica, revela el skimmer de JavaScript, que está diseñado para permanecer oculto en todas las páginas de error 404.
- Exfiltración de datos oculta: Con el skimmer activo, presenta un formulario falso a los visitantes del sitio web. Este formulario engañoso solicita a los usuarios que ingresen información confidencial, incluido su número de tarjeta de crédito, fecha de vencimiento y código de seguridad. Sin que la víctima lo sepa, en el momento en que ingresa estos datos, recibe un error falso de “tiempo de espera de sesión”.
- Exfiltración de datos: En segundo plano, toda la información robada está codificada en base64 y se envía al atacante a través de una URL de solicitud de imagen, llevando la cadena como parámetro de consulta. Este enfoque engañoso enmascara la filtración de datos como un evento de obtención de imágenes aparentemente inofensivo, lo que dificulta su identificación para las herramientas de monitoreo del tráfico de red.
- Información robada: Sin embargo, al decodificar la cadena base64, el atacante obtiene acceso a información personal y de tarjetas de crédito, lo que podría provocar robo de identidad y pérdidas financieras para las víctimas.
Este sofisticado ataque pone de relieve las tácticas en evolución de los piratas informáticos de Magecart, que continuamente encuentran nuevas formas de ocultar su código malicioso y comprometer la seguridad de las tiendas en línea. Subraya la necesidad de una mayor vigilancia para salvaguardar la información confidencial y el imperativo de medidas sólidas de ciberseguridad para proteger tanto a las empresas como a los consumidores en un mundo cada vez más digital.
Para obtener información más detallada al respecto, lea el informe oficial.
Crédito de la imagen destacada: Erik Mclean/Unsplash
Source: Los piratas informáticos empiezan a utilizar páginas de error 404 para robar tarjetas de crédito
