El término "Magecart" hace referencia a ataques contra la plataforma Magento. Recientemente, se detectó una nueva campaña masiva dirigida a sitios Magento. Entre los afectados, Carlsberg fue uno de los sitios web comprometidos.
El patrón de estos ataques es casi siempre el mismo: una sola línea de JavaScript carga contenido desde un sitio web remoto, es decir, un script de terceros. Ese código está fuertemente ofuscado para dificultar aún más su detección.
En este caso, el proceso de pago fue modificado de forma silenciosa. Se añadió un formulario de método de pago falso en la página de la tienda, que se mostraba a los clientes en primer lugar. Al introducir los datos de la tarjeta de crédito, esa información se enviaba directamente al atacante.
Este ataque fue bautizado como "CosmicSting" y fue reportado hace varios meses. Un análisis muy detallado y reciente de Sansec puede ayudarte a ponerte al día.
URLScan ha archivado el código que fue inyectado:
El dominio https://artvislon[.]shop/img/ fue utilizado para inyectar el siguiente código:
A partir de ahí, Malwarebytes ha publicado más información sobre el código en sí, si deseas consultarla. Desde entonces, ha sido eliminado de los sitios web afectados.
Es curioso —y un tanto frustrante— que las empresas afectadas no suelan ser identificadas por su nombre en informes como estos. Aunque generalmente hay buenas intenciones detrás de mantener su identidad en el anonimato, cabe preguntarse si ese silencio podría ser parte del problema. Al menos eso nos hizo reflexionar.
Si más empresas fueran nombradas públicamente cuando ocurren ataques del lado del cliente como CosmicSting, se podría generar una conciencia muy necesaria sobre los riesgos de los scripts de terceros y el malware de skimming, y evitar que otras marcas sufran ataques similares.
Al mantener estas brechas más en la sombra, el mensaje que se transmite a otras empresas y al público queda diluido. Cuando grandes marcas reconocidas son víctimas, debería servir como una llamada de atención para que otras empresas prioricen su seguridad del lado del cliente.
Estas empresas suelen contar con más recursos y disponer de un equipo de seguridad experimentado y dedicado. Sin embargo, empresas de todos los tamaños enfrentan problemas con la seguridad del lado del cliente y no prestan atención al problema hasta que algo sale mal de forma visible y a escala global.
Como hemos visto con el ataque a Polyfill, dependiendo del agente de usuario, la hora del día y la dirección IP, un actor malicioso puede inyectar un script dañino. Esperar a que un rastreador de seguridad detecte el ataque en tu nombre solo sirve para identificar ataques no avanzados y no dirigidos.
La realidad es que, sin ese foco sobre quiénes están siendo afectados, la urgencia y gravedad de estos ataques puede no ser comprendida en su totalidad por otros actores del sector.
Eso, a su vez, podría impulsar una adopción más rápida de mejores prácticas de seguridad y defensas más sólidas en todos los ámbitos.
Aunque se han probado distintos enfoques para combatir este tipo de ataques, ninguno ha funcionado realmente. Los feeds de amenazas son reactivos y, con frecuencia, fallan por completo. Acabamos de informar sobre un caso en el que los feeds de amenazas no detectaron un ataque durante más de 2 años.
Malwarebytes detectó el ataque gracias a que algunos de sus clientes utilizaban su plugin de detección para el navegador. Logró detener el ataque para esos pocos clientes específicos, lo que lo convierte en una solución excelente para quienes ya son conscientes de los peligros, pero no para quienes están fuera de ese ámbito.
A medida que los ataques continúan, y dado que estos ataques del lado del cliente son especialmente difíciles de detectar, creamos cside para cambiar esto. El propietario del sitio web instala nuestro script para que se cargue primero, permitiendo que cside monitorice, proteja e incluso optimice todos los demás scripts de su sitio. Puedes empezar a proteger tu sitio web y a tus visitantes de forma gratuita.
