Los hackers están secuestrando tiendas online para mostrar modernos formularios de pago falsos de aspecto realista con el fin de robar tarjetas de crédito a clientes desprevenidos.
Estos formularios de pago se muestran como un modal, contenido HTML superpuesto en la parte superior de la página web principal, lo que permite al usuario interactuar con formularios de inicio de sesión o contenido de notificación sin salir de la página.
Cuando los modales están activos, el contenido de fondo a veces se atenúa o difumina para llamar la atención sobre el contenido modal.
En un nuevo informe de Malwarebytes, los estafadores de MageCart están secuestrando las páginas de pago de tiendas online legítimas para mostrar sus propios formularios de pago falsos como modales para robar las tarjetas de crédito de los clientes.
Estos modales destacan porque a veces parecen incluso mejores que el original, al no tener signos visuales que puedan hacer sospechar que no son reales.
Mejor que el auténtico
Un caso destacado en el informe de Malwarebytes se refiere a una tienda parisina de accesorios de viaje basada en PrestaShop y comprometida por la nueva campaña de Kritec.
Kritec es un skimmer JavaScript de tarjetas de crédito que Malwarebytes detectó por primera vez en tiendas Magento en marzo de 2022, por lo que es probable que el mismo actor de amenazas esté detrás de él.
Malwarebytes informa que el skimmer que infectó la página es bastante complejo, y su código está muy ofuscado con codificación base64.
Al llegar a la página de pago del sitio infectado, en lugar de mostrarse el formulario de pago del sitio, el script malicioso muestra un modal con el logotipo de la marca, el idioma correcto (francés) y elegantes elementos de interfaz.
Sin embargo, este falso formulario de pago está diseñado para robar la información de la tarjeta de crédito de los clientes y enviarla de vuelta a los hackers.
Una vez que los compradores introducen sus datos en el modal, éste muestra un cargador falso momentáneamente y luego muestra un error falso, redirigiendo al usuario a la URL de pago real.
Sin embargo, en segundo plano, los actores de la amenaza ya han robado todos los datos introducidos, incluidos el número de tarjeta de crédito, la fecha de caducidad, el número CVV y el nombre del titular de la tarjeta.
Además, el skimmer deja caer una cookie en los usuarios que han sido atacados con éxito para evitar que se vuelva a cargar el modal malicioso en el mismo sitio o en otro. De este modo se evita recopilar datos duplicados y se minimiza la exposición de la operación.
Los analistas de Malwarebytes bloquearon el script del skimmer de tarjetas de crédito para permitir que se cargara el formulario de pago original, y la comparación entre ambos deja estéticamente derrotado al auténtico.
La página de pago real redirige a los visitantes a un procesador externo y, una vez introducidos los datos bancarios, el cliente vuelve a la página de la tienda.
Aunque la redirección a un sitio externo es un paso típico en los pagos en línea, inspira menos confianza en el visitante que el formulario modal que se muestra directamente en la página.
Por desgracia, Malwarebytes ha observado pruebas de que la tendencia de utilizar formularios modales está ganando terreno en la comunidad de ciberdelincuentes de Magecart.
Otros ejemplos de sitios web que ofrecen falsos formularios de pago a los visitantes incluyen un sitio de comercio electrónico holandés y otro finlandés, ambos con un diseño elegante que les ayuda a pasar por auténticos.
"Es posible que varios actores de amenazas estén involucrados en esas campañas y personalizando los skimmers en consecuencia", se lee en el informe.
"Aunque muchas tiendas pirateadas tenían un skimmer genérico, parece que los modales personalizados se desarrollaron hace bastante poco, quizá hace uno o dos meses".
Los compradores en línea deben estar muy atentos y preferir métodos de pago electrónicos o tarjetas privadas de un solo uso con límites de carga que resulten inútiles en manos de los ciberdelincuentes.
Fuente: bleepingcomputer