Imagen: iStockphoto/weerapatkiatdumrong

El robo de tarjetas de crédito en línea es un método de ataque común en el que los ciberdelincuentes secuestran sitios web y servidores para encontrar números de tarjetas de crédito utilizados en transacciones de comercio electrónico. Dirigiéndose a los sitios de comercio electrónico, los atacantes generalmente golpean los entornos LAMP (Linux, Apache, MySQL y PHP) principalmente debido a su ubicuidad y popularidad. Sin embargo, una nueva campaña de robo de tarjetas analizada por la firma de seguridad Malwarebytes apunta a sitios que ejecutan Internet Information Services (IIS) de Microsoft y ASP.NET.

VER: Los detalles de mi tarjeta de crédito robada se usaron en 4500 millas. Traté de averiguar cómo sucedió (Artículo de portada en PDF) (República Tecnológica)

La mayor parte de la actividad de robo de tarjetas vista por Malwarebytes ha sido contra los sistemas de administración de contenido (CMS) de comercio electrónico como Adobe Magento y complementos como WooCommerce, dijo la compañía en una publicación de blog el lunes. .

Además, estos ataques a menudo se dirigen contra plataformas LAMP de código abierto, que son las preferidas por muchas personas y organizaciones. Pero este ataque, que surgió a mediados de abril, apunta al objetivo más inusual de los sitios basados ​​en ASP.NET que ejecutan Microsoft IIS.

El ataque ya ha comprometido al menos una docena de sitios web, incluidas organizaciones deportivas, asociaciones comunitarias y de salud, e incluso una cooperativa de ahorro y crédito. Los atacantes obtienen el acceso necesario para buscar números de tarjetas de crédito mediante la inyección directa o remota de código malicioso en las bibliotecas de JavaScript existentes. El skimmer está diseñado para encontrar no solo números de tarjetas de crédito sino también contraseñas, aunque la función de contraseña en el código fuente no parece funcionar correctamente, según Malwarebytes.

Una instantánea de los sitios de las víctimas con bibliotecas de JavaScript comprometidas.
Imagen: Malwarebytes

Aunque ASP.NET no es un entorno de servidor web tan popular como PHP, aún prevalece entre muchos sitios web que ejecutan la función de carrito de compras. Todos los sitios comprometidos tenían un portal de compras configurado, razón por la cual fueron atacados por los atacantes.

"Los atacantes no necesitan limitarse a las plataformas de comercio electrónico más populares", dijo Malwarebytes en su publicación de blog. "De hecho, cualquier sitio web o tecnología es un juego justo, siempre que pueda ser derribado sin demasiado esfuerzo. No eran realmente las víctimas previstas".

Otro hilo común de los sitios comprometidos es que todos ejecutaban ASP.NET 4.0.30319, una versión que Microsoft ya no admite y está plagada de múltiples vulnerabilidades. Algunos de los sitios afectados ya han resuelto el compromiso. Malwarebytes dijo que contactó a los sitios restantes para alertarlos sobre la brecha con la esperanza de que aseguraran su entorno.

"El descremado digital es una amenaza creciente que ya no solo apunta a un tipo específico de software de comercio electrónico", dijo Jerome Segura, director de inteligencia de amenazas de Malwarebytes Labs. “Por lo tanto, es importante que las organizaciones vayan más allá del cumplimiento de PCI y fortalezcan su infraestructura. Las revisiones periódicas de los registros del servidor también pueden proporcionar una gran cantidad de información sobre los tipos de ataques que experimenta una empresa y la mejor manera de responder a ellos.

¿Qué debe hacer si su organización se ha visto comprometida por este ataque o aún ejecuta una versión no compatible de ASP.NET?

"Las organizaciones afectadas deben comenzar el proceso de remediación identificando sus activos, realizando copias de seguridad completas (si no lo han hecho) y luego procediendo a eliminar todos los artefactos maliciosos", dijo Segura. "Cuando se trata de actualizar el software, puede ser un proceso más complicado y donde un firewall de aplicaciones web puede ser útil para ayudarlos a ahorrar tiempo al planificar el proceso de actualización".

Microsoft también ofrece varias guías sobre la actualización desde diferentes versiones de ASP.NET en su página de documentación de .NET Framework.