http://www.securityweek.com/magento-malware-hides-stolen-card-data-image-files
Traducción Google:
Los cibercriminales han estado utilizando los archivos de imagen de aspecto inocente para almacenar y exfiltrate de datos de tarjetas de pago de comercio electrónico robadas de sitios web comprometidos que se ejecutan en la plataforma Magento.
No es raro que los actores maliciosos para plantar tarjeta swiper malware en sitios web de comercio electrónico. Una campaña observó recientemente por Sucuri y RiskIQ dirigido más de 100 tiendas en línea propulsados por Magento, Powerfront CMS y OpenCart.
Una interesante ataque descubierto recientemente por Sucuri implica un malware tarjeta de deslizar-diseñado para atacar las tiendas de Magento. Este tipo de malware normalmente exfiltrates robado datos de la tarjeta a través de correo electrónico o añadiéndolo a un archivo que posteriormente recuperada por los atacantes.
En los ataques observados por Sucuri, los cibercriminales han utilizado un archivo PHP malicioso que vuelca los datos robados en un archivo de imagen. El uso de imágenes falsas no es poco común, pero por lo general estos archivos no contienen una imagen real.
En este caso, sin embargo, la imagen que almacena los datos de la tarjeta es real y que está relacionado con los productos que se venda en el sitio web de destino. La imagen se puede ver por el administrador del sitio web, por lo que es menos probable que levantar ninguna sospecha.
El robo de datos se almacena en el final del archivo, después de que el código de la imagen legítima, en texto claro. Dado que la imagen es de acceso público, los piratas informáticos ni siquiera es necesario para mantener el acceso a la página web después de que se planten el malware.
«Todo el atacante tendría que hacer es descargar la imagen desde el sitio web al igual que cualquier otra y ver su código fuente,» dijo Sucuri investigador Ben Martin en un blog.
De acuerdo con Sucuri, la mayoría de las tarjetas robadas procedían de Estados Unidos, pero las víctimas también incluyen los usuarios de Japón, Turquía, Arabia Saudita y Canadá.
Sucuri ha aconsejado a los propietarios de tiendas en línea para proteger a sus sitios web, manteniendo todo su software actualizado. La compañía ha señalado que los archivos maliciosos utilizados en estos tipos de ataques a menudo pueden ser identificados en base a su «última modificación» la fecha, que es típicamente más reciente si la infección se detecta rápidamente.
El investigador holandés Willem De Groot informóa principios de este mes que había identificado más de 5.900 tiendas en línea con brecha creados para descremada datos de tarjetas de pago.Mientras cientos de sitios web de los afectados se limpiaron después se notificó a sus propietarios, De Groot dijo que muchos comerciantes se negaron a creer que sus sitios web se vean comprometidos o que simplemente no les importaba.
Latest posts by Jose Miguel (see all)
- Curso básico de ciberseguridad: Módulo 6 - 8 marzo, 2025
- Curso básico de ciberseguridad: Módulo 5 - 1 marzo, 2025
- Curso básico de Ciberseguridad: Módulo 4 - 28 diciembre, 2024
- Curso Básico de Ciberseguridad. Módulo 3 - 21 diciembre, 2024
- Episodio 7: Qué es el ‘Scareware’ - 29 noviembre, 2024
