Hack en Newegg, nueva víctima del malware Magecart

Share this…

Un equipo de expertos en hacking ético analizó este reciente ataque

El pasado seis de septiembre un incidente de seguridad comprometió los datos personales de miles de clientes de British Airways; ahora, cerca de dos semanas después, los presuntos actores detrás del robo de datos de la aerolínea parece haber encontrado una nueva víctima de su campaña: el vendedor de electrónica Newegg.

En días pasados, expertos en hacking ético publicaron detalles sobre el robo de datos de British Airways, momentos después de que la compañía hiciera su primer anuncio público respecto al suceso. El ataque a la aerolínea fue muy selectivo y se realizó a través de una táctica que ha sido puesta en práctica y perfeccionada durante años.

El informe sobre el ataque a British Airways fue publicado poco después de que se revelara que Magecart también estaba detrás del robo de datos de Ticketmaster a mediados de 2018. A medida que continúan las investigaciones, se está volviendo claro para los especialistas en hacking ético que estos ataques, simples pero inteligentes, no sólo son devastadores, sino que se están volviendo cada vez más frecuentes; Newegg es solamente la más reciente víctima.

El robo de datos de Newegg muestra el verdadero alcance del grupo detrás de Magecart. Estos ataques no se limitan a determinadas áreas geográficas o industrias específicas, pues se ha comprobado que cualquier organización que procese pagos en línea es un objetivo potencial de esta campaña. Los elementos característicos del ataque a British Airways estuvieron presentes en el ataque a Newegg, por ejemplo, se integraron con los sistemas de pago de las víctimas y se mezclaron con la infraestructura, permaneciendo allí el mayor tiempo posible.

Un ataque bien disfrazado

El 13 de agosto, el grupo detrás de la campaña registró un dominio llamado neweggstats.com con la intención de mezclarse con el dominio principal de Newegg, newegg.com. Registrado a través de Namecheap, el dominio malicioso inicialmente apuntaba a un host de estacionamiento estándar. Sin embargo, los actores lo cambiaron a 217.23.4.11 un día después, un servidor de caída de Magecart en el que se    ejecuta el servidor de respaldo de su skimmer para recibir la información robada de las tarjetas de pago. De forma similar al ataque de British Airways, estos actores adquirieron un certificado para el dominio, dándole así una apariencia legítima.

Para entonces, el servidor estaba listo para el ataque contra los clientes de newegg.com. Alrededor del 14 de agosto, los atacantes colocaron el código del skimmer en Newegg, logrando integrarlo en el proceso de pago de manera muy discreta.

Cuando un cliente quiere comprar un producto en Newegg debe seguir los siguientes pasos:

  • Colocar el producto en el carro de compras
  • Ingresar sus datos de entrega del producto y verificar que sean correctos
  • Cuando se ingresa una dirección válida, el cliente es redirigido a la página de forma de pago, donde deben ser ingresados los datos de tarjeta

El skimmer fue colocado en la página de procesamiento de pagos, no en un script, por lo que no se mostraría a menos que se integrara la página de pago. Los usuarios no podrían acceder a la página de pago sin colocar nada en el carro e ingresar una dirección validada.

Acorde a expertos en hacking ético del Instituto Internacional de Seguridad Cibernética, la primera vez que el skimmer se activó fue alrededor del 14 de agosto, siendo retirado del sitioweb de Newegg hasta el 18 de septiembre, lo que significa que los atacantes permanecieron en el sitio por más de un mes completo; el skimmer funcionaba igualmente en la versión del sitio para escritorio como para la versión móvil.