A principios de julio, la aerolínea British Airways recibió una multa de 183 millones de libras. La multa, impuesta por la Oficina del Comisionado de Información (ICO), fue por la brecha de datos que afectó a 500.000 clientes el año pasado. Al principio, nadie sabía quién era el culpable de este robo masivo de datos. Sin embargo, unos días después de la llegada de esta noticia, se empezaba a hablar de un grupo de ciberatacantes llamado Magecart.
Según RiskIQ, Magecart lleva al menos desde 2016 atacando empresas online. Su modus operandi es insertar código malicioso en las webs de estos comercios para robar los datos de los clientes de estos negocios en el momento de hacer una compra. Esta técnica se llama skimming digital. Entre las víctimas de Magecart, además de BA, se encuentran empresas como Ticketmaster, Forbes y Amazon CloudFront.
Dos campañas masivas de Magecart
A principios de julio, investigadores de seguridad descubrieron una campaña importante de Magecart que afectó a 962 webs de comercios electrónicos en solo 24 horas. Sanguine Security – una empresa que busca malware en Magento, una plataforma popular de comercio electrónico – la califica como “la campaña automatizada más grande hasta la fecha”.
La empresa cree que la campaña podría haber sido facilitada por una vulnerabilidad en Magento. Por ejemplo, en marzo, se descubrió una vulnerabilidad de inyección SQL en la plataforma. Aunque se lanzó un parche para remediar el fallo, muchas empresas tienen dificultad a la hora de parchear sus sistemas, así que es muy probable que gran cantidad de organizaciones no llegaran a instalar el parche.
Luego, el 10 de julio, se descubrió otra campaña masiva, en la que cibercriminales consiguieron añadir el código de Magecart a más de 17.000 dominios con archivos de JavaScript en buckets de Amazon S3 mal configurados.
La campaña, que empezó en abril, se aprovechó del hecho de que muchos sitios que utilizan el almacenamiento cloud de Amazon no aseguran adecuadamente el acceso a sus activos.
Según RiskIQ, los atacantes modificaron los scripts de manera indiscriminada, con lo cual, algunos de los JavaScript afectados no están en páginas de pago, así que no pueden robar datos de pago.
Explica Yonathan Klijnsma de RiskIQ “Una vez que los atacantes encuentran un bucket mal configurado, pueden escanearlo para buscar cualquier archivo de JavaScript. Luego, pueden descargar estos archivos de JavaScript, añadir su código de skimming al final, y sobrescribir el script que está en el bucket.”
Magecart: un peligro para el comercio electrónico
El grupo Magecart – en realidad una organización coordinadora con varios subgrupos – utiliza muchas técnicas avanzadas para hacer que sus inyecciones de código sean difíciles de detectar.
¿Y cuál es el procedimiento seguido? En un ataque particularmente complejo, los atacantes registraron un dominio con un nombre parecido al de la víctima. Desde este dominio, lanzaron su script a la web de la víctima y lo mezclaron con todos los scripts que ya utilizaba la web legítima. Para evitar levantar sospechas, consiguieron un certificado SSL para el dominio malicioso. El grupo utilizaba su script malicioso para robar los datos personales de los clientes de esta web.
Cuando éste fue descubierto y borrado, los atacantes mantuvieron su acceso a la web. Registraron un dominio con un nombre parecido al de un chatbot utilizado por la víctima y utilizaron técnicas parecidas para seguir atacando esta empresa y seguir robando los datos personales.
Peligro en la cadena de suministro
Una de las razones por la que Magecart es una amenaza tan peligrosa es que no solo ataca directamente a las empresas que quiere comprometer. Una táctica a la que recurre cada vez más este grupo, y que es tendencia entre las organizaciones de cibercriminales este 2019, son los ataques a la cadena de suministro. Para conseguir esto, instalan su código en, por ejemplo, el proveedor de anuncios web que luego se incrustarán en las webs que quieren atacar. De este modo, consiguen pasar desapercibidos por las víctimas.
Cómo proteger tu empresa
Magecart tiene un abanico muy amplio de técnicas y vectores para amenazar a tu empresa. Por esta razón, es muy importante tener controles muy estrictos sobre tu red informática y todo lo que ocurre dentro de ella.
Panda Adaptive Defense monitoriza de manera constante todos los procesos que se llevan a cabo dentro del sistema. Detecta cualquier proceso anómalo o sospechoso para detener todas las amenazas antes de que puedan producirse. De este modo, cualquier código sospechoso será detectado.
Se cree que la campaña masiva de Magecart fue facilitada por una vulnerabilidad en una aplicación web. Para reducir la superficie de ataque, es importante parchear los sistemas y aplicaciones que utiliza tu empresa. Para facilitar la tarea de parchear tus sistemas, Panda Adaptive Defense cuenta con el módulo Panda Patch Management.
Ya que el comercio electrónico es un sector que no deja de crecer, es muy probable que sigamos viendo ataques de Magecart, que se aprovecharán de las empresas que no tienen protecciones adecuadas. Por lo tanto, asegurar la seguridad de tu empresa, y por ende la de tus clientes y usuarios, es más importante que nunca.