Campaña de ataque de skimming web
Investigadores de ciberseguridad han descubierto una campaña de robo de datos web a gran escala que ha permanecido activa desde enero de 2022. La operación se dirige a empresas que dependen de las principales redes de pago, como American Express, Diners Club, Discover, JCB Co., Ltd., Mastercard y UnionPay. Las empresas que integran estos servicios de pago en sus sistemas de pago en línea se consideran de mayor riesgo.
Tabla de contenido
Skimming digital y la evolución de Magecart
Los ataques de robo de identidad digital son una forma de vulnerabilidad del lado del cliente en la que los atacantes inyectan JavaScript malicioso en sitios web de comercio electrónico y portales de pago legítimos. El código inyectado recopila silenciosamente datos de tarjetas de crédito e información personal a medida que los clientes ingresan sus datos de pago.
Esta actividad se enmarca en la categoría más amplia conocida como Magecart. El término originalmente describía a un conjunto de grupos cibercriminales centrados en sitios de comercio electrónico basados en Magento, pero desde entonces se ha expandido para abarcar operaciones de clonación de datos en diversas plataformas y tecnologías.
Infraestructura vinculada a la evasión de sanciones
La campaña se identificó durante una investigación sobre un dominio sospechoso asociado con Stark Industries, un proveedor de hosting fiable que ha sido sancionado. Su empresa matriz, PQ.Hosting, posteriormente renombró el servicio como THE.Hosting, ahora operado por la entidad holandesa WorkTitans BV, supuestamente para evadir las sanciones.
Se descubrió que el dominio cdn-cookie(punto)com albergaba archivos JavaScript altamente ofuscados, como "recorder.js" y "tab-gtm.js". Estos scripts estaban incrustados en tiendas online comprometidas, donde permitían el robo de datos de tarjetas de crédito encubierto.
El sigilo a través de la autodestrucción y la conciencia ambiental
El skimmer fue diseñado para evadir activamente la detección de los administradores del sitio. Inspecciona el Modelo de Objetos del Documento (MOD) en busca de "wpadminbar", un elemento de la barra de herramientas visible cuando los administradores o usuarios con privilegios de WordPress inician sesión. Si se detecta este elemento, el malware activa inmediatamente una rutina de autoeliminación, eliminándose de la página.
Para mantener la persistencia durante la navegación normal, el skimmer intenta la ejecución cada vez que cambia el DOM de la página, algo común durante la interacción del usuario en sitios web modernos.
Utilizando Stripe como arma mediante la manipulación de la interfaz
El código malicioso contiene lógica específica diseñada para explotar los flujos de pago basados en Stripe. Al seleccionar Stripe, el skimmer busca una entrada de almacenamiento local llamada "wc_cart_hash". Si el valor no existe, crea la clave y se prepara para recopilar datos.
En ese momento, el malware reemplaza dinámicamente el formulario de pago legítimo de Stripe por uno falso. Mediante una sutil manipulación de la interfaz, se engaña a las víctimas para que introduzcan el número de su tarjeta, la fecha de caducidad y el CVC en el formulario falso.
Después del envío, la página devuelve un mensaje de error, haciendo que parezca que el pago falló debido a información incorrecta en lugar de una interferencia maliciosa.
Robo, exfiltración y limpieza de datos
La información robada va más allá de los datos de la tarjeta de pago e incluye nombres completos, números de teléfono, direcciones de correo electrónico y direcciones de envío. El skimmer transmite estos datos mediante una solicitud HTTP POST a lasorie(punto)com.
Una vez finalizado el proceso de exfiltración, el malware elimina el formulario falso, restaura la interfaz legítima de Stripe y borra cualquier rastro de su actividad en la página de pago. A continuación, establece "wc_cart_hash" como "true", lo que garantiza que el skimmer no vuelva a ejecutarse para la misma víctima.
Una cadena de ataque construida sobre un profundo conocimiento de la plataforma
Los investigadores señalan que el atacante demuestra un conocimiento avanzado del funcionamiento interno de WordPress y aprovecha incluso características menos conocidas de la plataforma como parte del flujo de ataque. Este profundo conocimiento, combinado con sofisticadas técnicas de evasión y manipulación de la interfaz, subraya la madurez y persistencia de la operación.
