Se ha observado una sofisticada campaña de Magecart manipulando la página de error 404 predeterminada de los sitios web para ocultar código malicioso en lo que se describe como la última evolución de los ataques.
La actividad, según Akamai, se dirige a sitios web de Magento y WooCommerce, y algunas de las víctimas pertenecen a grandes organizaciones de las industrias alimentaria y minorista.
Esto implica insertar el código directamente en las páginas HTML o dentro de uno de los scripts propios que se cargaron como parte del sitio web.
Los ataques se realizan a través de una cadena de varias etapas, en la que el código del cargador recupera la carga útil principal durante el tiempo de ejecución para capturar la información confidencial ingresada por los visitantes en las páginas de pago y exfiltrarla a un servidor remoto.
El propósito de separar el ataque en tres partes es ocultarlo de manera que sea más difícil de detectar. Esto hace que el ataque sea más discreto y más difícil de detectar por parte de los servicios de seguridad y herramientas de escaneo externas que puedan estar instaladas en el sitio web objetivo.
El uso de páginas de error 404 es una de las tres variaciones de la campaña, las otras dos ofuscan el código skimmer en el atributo onerror de una etiqueta de imagen HTML con formato incorrecto y como un script en línea que se hace pasar por el fragmento de código Meta Pixel.
El código falso Meta Pixel, por su parte, obtiene una imagen PNG del propio directorio del sitio web que contiene una cadena codificada en Base64 adjunta al final del archivo binario de la imagen, que, cuando se decodifica, representa un fragmento de código JavaScript que se extiende a un dominio controlado por el actor para recuperar la carga útil de la segunda etapa.
Ambas técnicas están diseñadas para eludir medidas de seguridad como el análisis estático y el escaneo externo, prolongando efectivamente la vida útil de la cadena de ataque.
Sin embargo, es la tercera variante del cargador la que destaca por su inusual técnica de ocultación al aprovechar la página de error predeterminada en el sitio web de destino. Aparece como un script en línea o como un código Meta Pixel falso, envía una solicitud GET a una URL inexistente en el sitio web, lo que genera una respuesta “404 No encontrado”.
Esta respuesta apunta a una página de error modificada que oculta el código del skimmer en su interior. El skimmer funciona superponiendo un formulario de pago similar en las páginas de pago para capturar los datos para su posterior exfiltración en forma de una cadena codificada en Base64.
Info – Ciberseguridad Latam