Ciberdelincuentes utilizan reproductor de video, para robar tarjetas de crédito de más de 100 sitios

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Especialista en Tecnología #Ciberseguridad #CTO #PMO #Adviser #CoachPolitico #Podcasting

Piratas informáticos utilizaron un servicio de alojamiento de video en la nube para realizar un ataque en cadena a más de cien sitios inmobiliarios que inyectaban scripts maliciosos para robar la información introducida en los formularios del sitio web.

Estos scripts se conocen como skimmers o formjackers y se inyectan habitualmente en los sitios web hackeados para robar la información sensible introducida en los formularios. Los skimmers se utilizan habitualmente en las páginas de pago de las tiendas online para robar la información de los pagos.

En un nuevo ataque a la cadena de suministro descubierto por Palo Alto Networks Unit42, los actores de la amenaza abusaron de una función de alojamiento de vídeo en la nube para inyectar código skimmer en un reproductor de vídeo. Cuando un sitio web incrusta ese reproductor, incorpora el script malicioso, haciendo que el sitio se infecte.

En total, Unit42 encontró más de 100 sitios inmobiliarios comprometidos por esta campaña, mostrando un ataque muy exitoso en la cadena de suministro.

Los expertos avisaron a la plataforma de vídeo en la nube y ayudaron a los sitios infectados a limpiar sus páginas, pero esta campaña es un ejemplo del ingenio y la determinación de los adversarios.

La plataforma de video en la nube implicada en el ataque permite a los usuarios crear reproductores de vídeo que incluyen scripts de JavaScript personalizados para personalizar el reproductor.

Uno de estos reproductores de video personalizados que suele incrustarse en sitios inmobiliarios utilizaba un archivo JavaScript estático alojado en un servidor remoto.

Los investigadores de Unit42 creen que estos actores de la amenaza obtuvieron acceso al archivo JavaScript de origen y lo modificaron para incluir un script malicioso de skimmer.

Tras un análisis más profundo, Unit42 descubrió que el skimmer roba los nombres de las víctimas, las direcciones de correo electrónico, los números de teléfono y la información de las tarjetas de crédito. Esta información robada se envía de nuevo a un servidor controlado por el atacante, donde los actores de la amenaza pueden recopilarla para nuevos ataques.

Info – Ciberseguridad Latam