La compañía de monitoreo de JavaScript Jscrambler ha descubierto un nuevo conjunto de ataques de robo de datos web, incluidos ataques que utilizan métodos que, según se informa, son irreconocibles.
en un entrada en el blog (se abre en una pestaña nueva), la empresa describió cómo detectó un ataque de desnatado web en un servicio de análisis y marketing web con descuento que se produjo a través de la adquisición de su nombre de dominio (Cockpit). El nombre de dominio no ha estado en uso desde 2014.
Los skimmers del Grupo X pudieron comprometer más de 40 sitios web de comercio electrónico (se abre en una pestaña nueva)y los datos recopilados de los sitios fueron codificados, encriptados y enviados a un servidor de exfiltración con sede en Rusia, según Jscrambler.
Ataques de skimming web activos
El proveedor menciona que una vez que los ciberdelincuentes extraen con éxito los datos de los elementos originales de la página web, inyecta sus propios elementos falsos haciéndose pasar por un formulario de envío de tarjeta de crédito.
A través del uso de este método de piratería, cualquier dato insertado por el usuario continuará siendo recopilado y filtrado cada vez que haga clic en la página.
Jscrambler también encontró otros dos grupos de skimming web: el Grupo Y y el Grupo Z. Según los informes, el Grupo Y usaba un skimmer similar al del Grupo X, mientras que el Grupo Z usaba una estructura de servidor modificada para sus ataques.
El robo de datos web, también conocido como ataques Magecart, ocurre cuando los grupos de piratas informáticos utilizan técnicas de robo de datos en línea con el fin de robar datos personales de los sitios web. Los piratas informáticos apuntan principalmente a la información de la tarjeta de crédito en sitios que aceptan pagos en línea o información personal del cliente.
La publicación del blog menciona que existe la posibilidad de que algunos sitios web utilicen un sistema de gestión de contenido (CMS (se abre en una pestaña nueva)) o un proveedor generador de sitios web que estaba inyectando el script de terceros en sus páginas.
“En ese caso, es posible que no puedan eliminar la biblioteca de sus sitios web debido a permisos restringidos o falta de conocimiento”, escribió Jscrambler.
En noviembre de 2022, el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido alertó a más de 4000 sitios web de pequeñas empresas sobre la portales de pago comprometidos (se abre en una pestaña nueva) en sus plataformas de comercio electrónico, antes del Black Friday, el momento de mayor actividad para los minoristas en línea.