Los skimmers de cartas Magecart expanden su cartera de ataques

Magecart no es el nombre de una nueva API de carrito de compras en línea, sino el nombre de una red de ciberdelincuentes que han estado robando credenciales de tarjetas de crédito por algunos años. Uno de los grupos que comprende la red más grande que se conoce con el nombre de Magecart ha sido recientemente descubierto por investigadores de seguridad para usar un nuevo método de ataque.

Magecart ahora tiene la capacidad de inyectar sitios web minoristas con iframes que parecen una interfaz de pago de tarjeta de crédito regular. El enfoque diferente que se usa en este caso es que Magecart no busca un formulario de pago legítimo para sustituirlo por uno que se puede hojear. En su lugar, el iframe con el formulario de pago malintencionado se descarga en el código de cada página de PHP, pero solo se muestra cuando la página tiene un formulario de pago de carrito de compras regular.

El marco malicioso está formateado de manera que debería ser relativamente obvio para los usuarios experimentados, y deberían poder detectar el problema de inmediato, ya que los campos requeridos no se encuentran en ningún formulario de pago normal. El proceso también le dice a la víctima que será redirigida a un sitio web de terceros donde se finalizará la transacción, otro hecho es que algo no está bien con el pago y el procedimiento utilizado.

Si todo va según el plan de Magecart, la página carga un código JavaScript externo de un dominio registrado por una entidad rusa. Esto, por supuesto, todo sucede sin alertar a un usuario regular de ninguna manera. Una vez que la información de la tarjeta de crédito es raspada y recopilada por los malos actores, el cliente involuntario es redirigido a la página de pago legítimo del minorista y tiene que volver a ingresar la información de su tarjeta de crédito. Este segundo paso para hacer esencialmente lo mismo debería ser otra señal de alerta para avisar a los usuarios de que algo no está bien.