Investigadores de la empresa de ciberseguridad Qihoo 360’s NetLab han descubierto una campaña activa de sustracción de datos bancarios que está robando datos de clientes de más de 100 sitios web de comercio electrónico.
El código javascript en cuestión se encarga de robar información de los pagos realizados en el sitio web como son el número de tarjeta de crédito, el nombre del titular, el código CVV y la fecha de expiración.
En una entrevista por correo electrónico, el investigador de NetLab comenta que no disponen de suficiente información para determinar como los atacantes infectaron los sitios web o qué vulnerabilidades explotaron para conseguir acceso. Se confirma únicamente que todos los sitios afectados funcionan sobre el CMS Magento.
Un detallado análisis del script malicioso revela que la información robada se envía a otro fichero también hospedado en el dominio magento-analytics.com, controlado por los atacantes.
La técnica usada por los atacantes no es nueva, es exactamente la misma que la empleada por el grupo de hacking Magecart. Sin embargo, los investigadores de NetLab no relacionan este caso con ninguno de los perpetrados por el grupo en cuestión.
Que aparezca el término Magento en el nombre del dominio no significa que haya relación con este popular software de comercio electrónico. Los atacantes más bien han querido usar esa palabra para camuflar sus actividades y confundir a los usuarios.
De acuerdo con los investigadores, el dominio malicioso fue registrado en Panamá, sin embargo durante estos meses la dirección IP ha ido cambiando de país; de Estados Unidos a Rusia y de Rusia a China.
Dado que los atacantes normalmente explotan vulnerabilidades conocidas para poder introducir scripts maliciosos, se recomiendan aplicar las últimas actualizaciones de seguridad disponibles, limitar los privilegios para sistemas críticos y securizar los servidores web.