Una operación de “skimming” web a escala global ha sido expuesta, revelando una infraestructura altamente sofisticada diseñada para secuestrar formularios de pago de Stripe, PayPal y otros gigantes, robando no solo tarjetas de crédito, sino identidades completas.
La pesadilla del comercio electrónico ha regresado con más fuerza. Investigadores de seguridad han identificado una campaña masiva de Magecart que utiliza un arsenal de más de 50 scripts maliciosos distintos para infectar sitios web de compras. A diferencia de ataques anteriores centrados únicamente en copiar datos de tarjetas, esta nueva ola ha evolucionado hacia el robo integral de identidad y la toma de control de cuentas (Account Takeover).
Un Camaleón Digital
Lo que hace particularmente peligrosa a esta campaña es su capacidad de adaptación. Los atacantes no están usando una “talla única” para todos; en su lugar, despliegan cargas útiles modulares diseñadas específicamente para imitar y secuestrar las interfaces de los procesadores de pago más populares del mundo, incluyendo:
- Stripe
- PayPal
- Mollie
- PagSeguro
- OnePay
Los scripts inyectan formularios de pago falsos que se superponen a los legítimos o actúan silenciosamente en segundo plano, registrando cada tecla que pulsa el usuario.
Infraestructura de Engaño
Para evadir la detección, los criminales han tejido una red de dominios que imitan servicios legítimos de análisis y librerías de código. Nombres de dominio como googlemanageranalytic.com, gtm-analyticsdn.com y jquery-stupify.com son utilizados para alojar el código malicioso, logrando que el tráfico pase desapercibido ante los ojos de administradores menos experimentados.
Más allá de la Tarjeta de Crédito
El análisis revela un cambio estratégico en los objetivos de Magecart. Ya no se conforman con el número de tarjeta (PAN) y el código de seguridad (CVV). Ahora, los scripts están programados para cosechar:
- Credenciales de inicio de sesión (usuario y contraseña).
- Información de Identificación Personal (PII) completa.
- Correos electrónicos.
Este robo de credenciales permite a los atacantes establecer persistencia a largo plazo. Al robar accesos de administrador, pueden volver a infectar el sitio incluso después de que se haya limpiado el malware inicial, o crear cuentas de administrador “rogue” para mantener el control.
Recomendaciones
- Seguridad del lado del cliente: Implementar soluciones que monitoreen y restrinjan qué scripts pueden ejecutarse en el navegador del usuario.
- CSP (Content Security Policy): Configurar políticas estrictas que impidan la carga de recursos desde dominios desconocidos o sospechosos como los mencionados anteriormente.
- Monitoreo de Integridad: Vigilar cambios no autorizados en los archivos de cabecera y en los procesos de checkout.
