Redacción 14 marzo, 2019
Tarjetas de Crédito Robadas

Grupo-IB: los datos de tarjetas de crédito de miles de clientes de las tiendas en línea del Reino Unido y Estados Unidos podrían haber sido comprometidos

Group-IB, una compañía internacional que se especializa en la prevención de ataques cibernéticos, descubrió un código malicioso diseñado para robar datos tarjetas de crédito de clientes en siete tiendas en línea en el Reino Unido y Estados Unidos.

El código inyectado ha sido identificado como un nuevo JavaScript Sniffer (JS Sniffer), denominado Group-IB como GMO.

El equipo de inteligencia de amenazas de Group-IB descubrió por primera vez el OG JS Sniffer en el sitio web de la compañía internacional de artículos deportivos FILA UK, lo que podría haber llevado al robo de los datos de pago de al menos 5,600 clientes durante los últimos 4 meses.

¿Cuando Usted pagó tenía sniffers?

Las violaciones más recientes similares a esto incluyen British Airways y Ticketmaster, que fueron analizadas por primera vez por el equipo de investigación RiskIQ, donde los cibercriminales lograron comprometer la información personal de miles de viajeros y asistentes a conciertos con algunas líneas de código.

Los sitios web de British Airways y Ticketmaster se infectaron con JS Sniffers, un tipo de código malicioso inyectado en el sitio web de una víctima diseñado para robar los datos personales de un consumidor, incluidos los detalles de la tarjeta de pago, nombres, credenciales, etc.

El sitio web de FILA UK se convirtió en el nuevo objetivo principal de los cibercriminales en el mercado del Reino Unido.

GMO JS Sniffer también se ha descubierto en otros 6 sitios web de compañías con sede en EE. UU.

Este tipo de ataque es especialmente peligroso dado que se puede aplicar a casi cualquier sitio de comercio electrónico en todo el mundo.

Group-IB realizó múltiples intentos para alertar a FILA, que se sabe que se vio afectada por los OGM.

Otros seis sitios web afectados por este JS Sniffer también fueron notificados al ser descubiertos.

El equipo del Grupo IB también se ha dirigido a las autoridades locales en el Reino Unido y los Estados Unidos para llevar a cabo actividades de divulgación.

El equipo de inteligencia de amenazas del Grupo-IB descubrió por primera vez los OGM en el sitio web de FILA UK.

El código malicioso se detectó a principios de marzo de 2019

En el transcurso de una investigación adicional, se reveló que GMO JS Sniffer probablemente ha estado recolectando datos de pago de clientes desde noviembre de 2018.

Según Alexa.com, el número de fila.co [.] Uk Los visitantes mensuales únicos se estiman en alrededor de 140k por mes.

Según IRP, firma de investigación de mercado del Reino Unido, una conversión mínima en compra para el comercio electrónico de moda y ropa es igual al 1%.

El uso de estimaciones muy conservadoras, el pago y los datos personales de al menos 5,600 clientes podrían haber sido robados por los ciberdelincuentes: todos los que han comprado artículos en fila.co.uk desde noviembre de 2018 tienen potencialmente comprometidos sus detalles.

Por lo general, después de que los datos de los clientes son robados, generalmente se revenden en tiendas subterráneas.

Otro esquema de cobro involucra el uso de tarjetas comprometidas para comprar bienes valiosos, por ejemplo, Electrónica, para la venta posterior.

El código de robo de tarjeta de una línea descarga un Sniffer de JavaScript una vez que el cliente llega a una página de pago, que intercepta los datos de la tarjeta de crédito y los envía al almacenamiento local.

Después, los detalles de las tarjetas de pago se envían a la puerta de JS Sniffer, que se encuentra en el mismo servidor que el script de JS Sniffer.

“Los delincuentes cibernéticos podrían haber inyectado un código malicioso ya sea explotando una vulnerabilidad de Magento CMS (sistema de administración de contenido), utilizada por FILA.co.uk, o simplemente comprometiendo las credenciales del administrador del sitio web utilizando un software espía especial o descifrando contraseñas con métodos de fuerza bruta” – comenta Dmitry Volkov, director de tecnología y jefe de inteligencia de amenazas del Grupo-IB.

«Hemos apodado este JG de la familia JS Sniffer porque el malware usa el host gmo [.] Li».

Tarjetas de Crédito Robadas
Tarjetas de Crédito Robadas

 Fig. 1 La captura de pantalla muestra un código de una línea (línea 771) que descarga un rastreador JS diseñado para robar los datos de los clientes una vez que el usuario llega a una página de pago.

Fig. 2 La captura de pantalla muestra parte del JS Sniffer que detecta Chrome Dev Tools y Firebug & the Sniffer descargados en el navegador del usuario una vez que el usuario llega a una página de pago.

Fig. 3 La captura de pantalla muestra parte de JS Sniffer con funciones para recopilar información de facturación y pago de la víctima y enviar información extraída a los ciberdelincuentes a través de la solicitud de imagen.

Tarjetas de Crédito Robadas
Tarjetas de Crédito Robadas

Fig. 4 La captura de pantalla muestra parte del JS Sniffer que llama funciones para recopilar y enviar información de pago de la víctima a los ciberdelincuentes

Más tarde, los especialistas de Group-IB encontraron otros sitios web infectados con GMO JS Sniffer.

La lista incluía seis tiendas de comercio electrónico con un total de aproximadamente 350,000 visitantes únicos mensuales (según el ranking de Alexa.com):

http: // jungleeny [.] Com (Home design store),

https: // forshaw [.] Com / ( Pest Management Products Store),

https: //www.absolutenewyork [.] Com / (Cosmetics Store),

https: //www.cajungrocer [.] Com / (Online Grocery Store),

https: //www.getrxd [. ] com / (Training Equipment Store),

https: //www.sharbor [.] com / (Video Editing Apparel store).

GMO es una familia de JS Sniffers que se dirige a las tiendas en línea basadas en Magento

GMO puede detectar Firebug y Google Developer Tools, lo que permite que el sniffer permanezca sin ser detectado.

El equipo de inteligencia de amenazas del Grupo-IB descubrió que GMO ha estado activo desde mayo de 2018. El nombre de dominio utilizado para el almacenamiento de códigos del sniffer y como una puerta para la recolección de datos robados se registró el 7 de mayo de 2018. El GMO JS Sniffer recién descubierto es uno de las 15 familias de sniffers descritas por Group-IB en su nuevo informe que la compañía está preparando para lanzar pronto.

Los clientes de Group-IB Threat Intelligence serán los primeros en recibir el informe.

Nueve de estas quince familias de JS Sniffers no fueron investigadas previamente.

“JS Sniffers es un tipo de malware que sigue siendo poco investigado. A pesar de su simplicidad, es capaz de causar enormes daños financieros y de reputación a grandes corporaciones internacionales y, por lo tanto, no debe ser subestimado. Las recientes violaciones de datos en British Airways y Ticketmaster demostraron este punto.

Y no solo se ven afectadas las pequeñas tiendas en línea, sino también los sistemas de pago y los bancos cuyos clientes sufren pérdidas de datos de pago.

El término general «Magecart» dado a estos ataques por los analistas de RiskIQ debería ser mucho más amplio que eso.

Hay muchos más grupos que utilizan distintas familias de JS Sniffers capaces de dirigirse a las tiendas en línea.

Como en algunos casos es difícil determinar cuántas personas usan el detector, los expertos de IB del Grupo las llaman familias, no grupos.

Cada familia de JS Sniffers tiene características únicas y requiere un análisis detallado «, dice Dmitry Volkov.

“El equipo de inteligencia de amenazas de Group-IB analiza continuamente nuevos tipos de JS Sniffers: multipropósito y específicos, diseñados para apuntar a sistemas de administración de contenido particulares.

Teniendo en cuenta el tamaño del mercado y la creciente amenaza que JS Sniffers plantea, Group-IB decidió analizar varias familias de sniffers que enriquecen el conocimiento sobre este malware, lo que se suma a los intentos anteriores de investigar los JS Sniffers «.

 

 

 

 

 

 

 

Por Marcelo Lozano – General Publisher IT Connect Latam