Los atacantes buscan números de tarjetas de crédito en servidores Microsoft IIS que ejecutan una versión más antigua y vulnerable de ASP.NET, dice Malwarebytes.
Imagen: iStockphoto / weerapatkiatdumrong
El skimming de tarjetas de crédito en línea es un método de ataque común mediante el cual los ciberdelincuentes piratean sitios web y servidores para buscar los números de tarjetas de crédito utilizados en transacciones de comercio electrónico. Al apuntar a los sitios de comercio electrónico, los atacantes suelen atacar los entornos LAMP (Linux, Apache, MySQL y PHP) debido principalmente a su ubicuidad y popularidad. Sin embargo, una nueva campaña de skimming de tarjetas analizada por la firma de seguridad Malwarebytes está dirigida a sitios que ejecutan Internet Information Services (IIS) y ASP.NET de Microsoft.
VER: Los datos de mi tarjeta de crédito robada se utilizaron a 4.500 millas de distancia. Traté de averiguar cómo sucedió (artículo de portada PDF) (TechRepublic)
La mayoría de las actividades de skimming de tarjetas observadas por Malwarebytes han sido contra los sistemas de administración de contenido de comercio electrónico (CMS), como Adobe Magento y complementos como WooCommerce, dijo la empresa en un entrada de blog publicada el lunes.
Además, estos ataques a menudo se dirigen contra las plataformas LAMP de código abierto, que son favorecidas por muchas personas y organizaciones. Pero este ataque, que apareció a mediados de abril, está dirigido al objetivo más inusual de los sitios basados en ASP.NET que ejecutan Microsoft IIS.
El ataque ya ha comprometido al menos una docena de sitios web, incluidas organizaciones deportivas, asociaciones comunitarias y de salud e incluso una cooperativa de crédito. Los atacantes obtienen el acceso necesario para buscar números de tarjetas de crédito inyectando directa o remotamente código malicioso en las bibliotecas JavaScript existentes. El skimmer está diseñado para buscar no solo números de tarjetas de crédito sino también contraseñas, aunque la funcionalidad de contraseña en el código fuente no parecía funcionar correctamente, según Malwarebytes.
Una instantánea de los sitios de las víctimas con bibliotecas de JavaScript comprometidas.
Imagen: Malwarebytes
Aunque ASP.NET no es un entorno de servidor web tan popular como PHP, todavía prevalece entre muchos sitios web que tienen una función de carrito de compras. Todos los sitios comprometidos tenían un portal de compras configurado, razón por la cual fueron atacados por los atacantes.
“Los atacantes no necesitan limitarse a las plataformas de comercio electrónico más populares”, dijo Malwarebytes en su publicación de blog. “De hecho, cualquier sitio web o tecnología es un juego limpio, siempre y cuando se pueda alterar sin demasiado esfuerzo. En algunos casos, notamos compromisos ‘accidentales’, donde algunos sitios son pirateados e inyectados aunque no fueran realmente los víctimas previstas “.
Otro hilo común de los sitios comprometidos es que todos ejecutaban ASP.NET 4.0.30319, una versión que ya no es compatible con Microsoft y que está plagada de múltiples vulnerabilidades. Desde entonces, algunos de los sitios afectados han resuelto el problema. Malwarebytes dijo que se puso en contacto con los sitios restantes para alertarlos sobre la violación con la esperanza de que protegieran su entorno.
“El skimming digital es una amenaza creciente que ya no se dirige solo a un tipo específico de software de comercio electrónico”, dijo Jerome Segura, director de inteligencia de amenazas de Malwarebytes Labs. “Como resultado, es importante que las organizaciones vayan más allá del cumplimiento de PCI y fortalezcan su infraestructura. Las revisiones periódicas de los registros del servidor también pueden proporcionar una gran cantidad de información sobre los tipos de ataques que sufre una empresa y cómo responder mejor a ellos”.
¿Qué debe hacer si su organización puede haberse visto comprometida por este ataque o aún ejecuta una versión no compatible de ASP.NET?
“Las organizaciones afectadas deben iniciar el proceso de remediación identificando sus activos, haciendo copias de seguridad completas (si no lo han hecho) y luego proceder a eliminar cualquier artefacto de malware”, dijo Segura. “En cuanto a la actualización del software, este puede ser un proceso más delicado y un firewall de aplicaciones web puede ser útil para ayudarlos a ganar algo de tiempo para planificar el proceso de actualización”.
Microsoft también ofrece varias guías sobre cómo actualizar diferentes versiones de ASP.NET en su Página de documentación de .NET Framework.
Tecnotraffic
Esperemos que te haya sido útil Comparte nuestro post . .
Nos vemos pronto!