Investigadores revelaron detalles de un grupo de cibercriminales apodado por ellos como Keeper, responsable de llevar a cabo ataques de web skimming en sitios web de más de 570 empresas -pequeñas y medianas principalmente- que ofrecían venta online en 55 países diferentes. Si bien la mayoría de las tiendas online son de países como Estados Unidos, Reino Unido y Holanda, algunos de los sitios que en algún momento fueron comprometidos por el grupo corresponden a empresas de países de América Latina, como Argentina, Brasil, Chile, Colombia, Perú y Paraguay, además de algunas pocas de España.
Web skimming es un tipo de ataque mediante el cual los cibercriminales roban información de pago de los usuarios al comprometer un sitio web. Este tipo de ataque también es conocido como Magecart en referencia al primer grupo en utilizar esta táctica para robar datos de las tarjetas de pago de los usuarios tras comprometer sitios que contaban con un carro de compras en su sitio web.
De acuerdo con Gemini Advisory, una compañía de Threat Intelligence que reveló detalles de la actividad de este grupo, que continúa operando en la actualidad, el mismo está conformado por una red interconectada de 64 dominios bajo su control y 73 dominios de exfiltración. Según explicó la compañía en una reciente publicación con los detalles de la investigación, el grupo se mantiene activo desde 2017 y afectó aproximadamente a unos 250.000 usuarios a nivel global. Cabe destacar que otras empresas que monitorean la actividad de estos cibercriminales han analizado sus campañas bajo otros nombres, como, por ejemplo, CofeeMokko.
Si bien los cibercriminales que realizan ataques de web skimming utilizan distintas técnicas y estrategias para recolectar los datos de las tarjetas de sus víctimas, en este caso los atacantes utilizaban dominios falsos que se hacían pasar servicios legítimos y la inyección de un código malicioso en JavaScript embebido en el HTML como principal método para robar los datos de las tarjetas.
El sistema de gestión de contenidos (CMS, por sus siglas en inglés) más utilizado por las víctimas de este grupo que roba la información de pago de sus víctimas es en el 85% de los casos Magento, aunque algunas de las tiendas online comprometidas utilizaban WordPress, Shopify, BigCommerce y PrestaShop.
Por lo tanto y teniendo en cuenta las diferentes estrategias que utilizan los cibercriminales para realizar ataques de web skimming, que van desde la explotación de vulnerabilidades en CMS y plugins desactualizados, o mediante la inyección de SQL, entre otros métodos, es importante que las empresas que cuenten con el servicio de un carro de compras en su sitio tengan sus sistemas actualizados y que analicen las medidas de seguridad que implementan para evitar ser víctimas de un ataque de este tipo.