En un ataque Magecart, se inserta código malicioso en los scripts propios o de terceros

Magecart representa un estilo específico de ataque de robo de datos web que aprovecha las vulnerabilidades en los scripts de las plataformas de comercio electrónico. Este apodo se origina en la popular plataforma de comercio electrónico Magento. En un ataque Magecart, se inserta código malicioso en los scripts propios o de terceros, como los utilizados en la página de pago, mediante la explotación de una vulnerabilidad. El objetivo es obtener información confidencial, como los detalles de pago de los clientes y datos de identificación personal.

Los ataques Magecart se dirigen a las plataformas de comercio electrónico, aprovechando las debilidades de seguridad presentes en sus scripts. Estos ataques suelen ocurrir en sitios web que utilizan dominios que aún ejecutan versiones vulnerables de las plataformas afectadas. Los atacantes obtienen acceso no autorizado al inyectar código malicioso en los scripts, lo que les permite recopilar datos valiosos.

Existen tres medios principales mediante los cuales los atacantes llevan a cabo los ataques Magecart:

Explotación de vulnerabilidades en sitios web: Los atacantes buscan sitios web que utilicen plataformas de comercio electrónico populares como Magento, WooCommerce, Shopify y WordPress, las cuales pueden tener vulnerabilidades conocidas y documentadas. Aprovechando estas vulnerabilidades, los atacantes inyectan código malicioso en el sitio web objetivo. Aunque la mayoría de las vulnerabilidades están corregidas en versiones actualizadas, algunos sitios web pueden estar utilizando versiones desactualizadas, lo que los expone a riesgos de seguridad.

Modificación de scripts de terceros: Los atacantes también aprovechan vulnerabilidades para editar o agregar código malicioso en los scripts de proveedores externos que se cargan como parte del sitio web objetivo. Estos scripts, como los utilizados para funciones de pago o seguimiento de métricas, pueden contener brechas de seguridad que los atacantes explotan para obtener información confidencial.

Uso de dominios de servicios/proveedores en desuso: Otra táctica utilizada por los atacantes es adquirir dominios de servicios o proveedores que ya no se utilizan y cargar código malicioso en ellos. Estos dominios pueden estar asociados con recursos de terceros que se utilizan en el sitio web objetivo. Al inyectar código malicioso en estos recursos, los atacantes pueden obtener acceso no autorizado a la información confidencial de los usuarios.

En uno de los ataques detectados, el atacante introdujo código malicioso en un recurso propio, lo que puso en riesgo la información de los usuarios que ingresaron y enviaron datos en el formulario de pago de la página correspondiente. Esto incluye detalles sensibles como el CVV, número de tarjeta de crédito y nombre.

Otro conocido ataque del grupo Magecart se dirigió a una importante aerolínea, donde los atacantes abusaron de scripts de terceros en la página de pago. Como resultado, se produjo el robo de datos confidenciales de los usuarios, incluyendo información de pago. Según informes, este ataque afectó a más de 350,000 clientes y resultó en una significativa multa de £20 millones (alrededor de US $25 millones al momento de redactar este artículo), impuesta bajo las regulaciones del GDPR.

En ambos casos, los datos robados fueron enviados a un servidor C2 (Command and Control).