Magecart informó que apunta a varias plataformas de impresión de revistas
Los investigadores informaron una operación de desnatado Megacart que se ha dirigido a las plataformas como la firma de impresión de revistas durante un período de más de 2.5 años. Los registradores de claves se ejecutan en páginas web de pago de dichas plataformas para realizar el ataque contra la información de la tarjeta de pago del cliente y datos similares.
El ataque de Megacart se vio activo en 2017. Sus víctimas son las que se suscribieron a la versión impresa de ESPN Maganize, Stars and stripes, publicación militar y muchos otros sitios similares de la misma plataforma de impresión. Se usaron al menos 18 keyloggers para recopilar la información de la tarjeta de crédito para grupos de piratería durante 20 meses, según el informe de los investigadores.
Los actores maliciosos registraron los skimmers de tarjetas de crédito con dominios de red de entrega de contenido falso para ocultar el tráfico. Los scripts maliciosos se inyectan en las páginas de pago de las tiendas de comercio electrónico después de que los sitios son pirateados. El objetivo principal de los atacantes detrás del ataque Megacart es recopilar los datos enviados por los usuarios en la plataforma de pago.
Se descubrió que se utilizó el software proxy de tarifa ngrok que permite a los estafadores crear un esquema personalizado e intentar evadir la detección. Los detalles sobre los dominios de las redes de entrega de contenido, contenían código malicioso y otros fueron analizados en la biblioteca. Una vez que la página de pago coincide, los datos de la URL se recopilan en la plataforma. Dichos datos incluyen:
- nombres de usuario,
- Direcciones,
- correos electrónicos,
- Números de teléfono,
- Información de tarjeta de crédito
Jerome Segura, un investigador, que expuso esta web descremada declaró:
Los actores de amenazas saben que generalmente tienen una pequeña oportunidad antes de que se detecte su infraestructura y posiblemente se cierre. Pueden idear trucos ingeniosos para enmascarar su actividad además de usar dominios que son nuevos o pertenecen a propietarios legítimos (pero abusados).