Esta semana desplegamos un rastreador especializado con fines de investigación. En tan solo 24 horas, identificó con éxito nuevos patrones de ataque Magecart. Magecart es una amenaza sofisticada y con motivación financiera que inyecta JavaScript malicioso para robar información de pago personal. Aquí encontrarás un listado de los mayores ataques Magecart hasta la fecha.
Detección inicial: JavaScript ofuscado en Artifyau[.]com
URL detectada: https://artifyau[.]com/T1M0dVluVnBiR1J6YVhSbGNISnZMbU52YlE9PQ/jqwery.js.
La URL imita un archivo JavaScript legítimo, con apariencia similar a jQuery, pero un vistazo rápido revela un error ortográfico ("jqwery" en lugar de "jquery"), una táctica habitual para enmascarar ataques. Al inspeccionarlo, el archivo contenía JavaScript altamente ofuscado, probablemente diseñado para evadir la detección. A continuación, una muestra de la estructura del código:
Y aquí desofuscado y normalizado:
Este tipo de ofuscación es habitual en los scripts de Magecart, cuyo objetivo es robar información de tarjetas de crédito inyectando código malicioso en las páginas de pago de los sitios comprometidos.
El dominio sospechoso: un análisis más detallado
Una búsqueda rápida reveló que artifyau[.]com fue registrado el 15 de octubre de 2024 y está configurado para expirar en un año. Estos son los metadatos básicos que recopilamos:
El dominio estaba oculto detrás de Cloudflare y una búsqueda rápida mostró que estaba en venta, algo llamativo para un sitio que supuestamente aloja scripts legítimos.
A partir del escaneo de URL encontramos múltiples sitios web infectados: https://urlscan.io/search/#artifyau.com
Análisis de la página HTML y del dominio secundario
La etiqueta <script> inyectada:
Esto carga un documento políglofo. En el contexto de la seguridad, los archivos políglotos son archivos que constituyen una forma válida de múltiples tipos de archivo distintos. En este caso, válido como HTML y también como JavaScript, ambos al mismo tiempo:
Se trata de código HTML comentado donde el JS malicioso se encuentra al final del archivo HTML comentado, probablemente para evadir la detección:
Si alguien visita este sitio web directamente desde el navegador, se renderizará la siguiente página:
Si esto se inyecta en el sitio web, se cargará como JavaScript. Esto a su vez carga la fase final del JavaScript malicioso, que a su vez carga el archivo jqwery.js. Decodificado, tiene el siguiente aspecto:
Revela múltiples técnicas anti-depuración y código de temporización, al igual que otros archivos JS de Magecart conocidos. Entre ellos:
- setTimeout(_0x3481cd, 1000);
Esto se utiliza para robar la información personal (PII) y los datos de tarjetas de crédito de las personas que visitan estos sitios.
En el análisis detallado encontramos el nuevo dominio utilizado por el actor de amenazas: quantifymy[.]com.
Ambos dominios están detrás de Cloudflare para ocultar su IP original.
Encontramos otra lista de sitios web infectados a través de esta URL: https://urlscan.io/search/#quantifymy.com
Solo el dominio es diferente; el resto de las TTPs se mantienen igual a las descritas anteriormente.
Protege tu sitio
En el momento de publicar este artículo, solo un proveedor de feeds de amenazas había reportado estos dominios como maliciosos en VirusTotal:
- https://www.virustotal.com/gui/domain/quantifymy.com
- https://www.virustotal.com/gui/domain/artifyau.com
Nuestro proxy comprueba cada script de terceros que el navegador solicita. En nuestras pruebas, detectó y bloqueó con éxito estos dominios para que no renderizaran el script, protegiendo así al visitante. Puedes registrarte aquí.
