Formjacking: Un lucrativo ataque en aumento

En el último informe sobre ciberamenazas publicado por Symantec (ISTR), existe una amenaza en crecimiento llamada “Formjacking”, la cual actualmente es una de las formas de ataque más lucrativas para los ciberdelincuentes debido al relativo bajo esfuerzo que conlleva realizar junto con el alto valor y demanda en el mercado negro del activo robado: tarjetas de crédito. Su nivel de expansión en amenazas ha reemplazado al ransomware como WannaCry o Petya/NotPetya (gracias en parte a la baja en la cotización de las criptomonedas, sobretodo el BitCoin), por lo que es necesario aumentar el foco en la prevensión y detección de este tipo de ataques.
Formjacking consiste en una analogía a lo que hoy conocemos como skimming, o robo de tarjetas bancarias en cajeros automáticos, sólo que es mucho más simple, directo, y seguro para los criminales. Aunque este tipo de ataques no es nuevo, su rápido crecimiento en el ultimo semestre motivo de alerta para las organizaciones que ofrecen pagos en sus sitios, o sea todo el e-commerce.
Opera de la siguiente manera: El atacante logra inyectar código JavaScript en la lógica del formulario de pago objetivo, una vez de que el cliente envíe la información de pago, este código malicioso recoge toda la información entregada para el pago, luego la envía al repositorio del atacante y a la vez al flujo original de pago. Con esto el pago se realiza pero los datos a la vez son recogidos por el atacante, para su posterior venta en el mercado negro y utilización en estafas. Los datos recogidos pueden contener: Nombre completo, dirección, teléfono, correo, banco, número de tarjeta, fecha de caducidad, código de seguridad, etc.
Aumento de campañas
La actividad de campañas de formjacking presenta un aumento exponencial desde finales de agosto de 2018, registrando un aumento de hasta 4 veces más bloqueos en comparación a la media de meses anteriores. En números esto es sobre 6.000 bloqueos diarios en promedio para sólo 1 proveedor de IPS.

Objetivos
Este ataque ya es conocido por grandes e-commerce como Ticketmaster, British Airways y Newegg (retailer de tecnología).
Una muestra de 1.000 instancias de bloqueo de este ataque, recogidas en una ventana de 3 dias, muestra como objetivos a 57 sitios web distintos, desde pequeños e-commerce hasta grandes negocios. Geográficamente abarca desde Japón hasta Latinoamérica, pasando por Australia y Europa.
Magecart
Es el grupo de cibercriminales que se encuentra detrás de los recientes ataques de formjacking hacia British Airways, Ticketmaster, Feedify y Newegg. Magecart se encuentra activo desde al menos el año 2015. Su operación implica la inyección de skimmers web en sitios para robar datos de pago junto con otra información sensible relacionada a los pagos via web.
Método de compromiso de sitios web
Aunque existen diversas formas de ejecución de este ataque, llama la atención el caso de Ticketmaster, en el cual los atacantes de Magecart utilizaron un ataque a la cadena de suministro para obtener acceso al sitio web y de esta forma manipular el código de su página de pagos.
Los ataques de cadena de suministro son aquellos en los que se obtiene acceso a grandes organizaciones al explotar debilidades en sus proveedores de menor tamaño.
El aumento en la cantidad de ataques de formjacking fue evidenciado luego del ataque a Ticketmaster, reportado en junio de 2018. Los atacantes de Magecart en un comienzo comprometieron un chatbot de Inbenta que estaba siendo utilizado para asistencia al cliente en los sitios de Ticketmaster. Luego Magecart pudo alterar el código JavaScript en el sitio de Ticketmaster para de esta forma capturar los datos de pago con tarjeta de sus clientes y posteriormente enviarlos a sus propios servidores. Este código malicioso pudo estar en el sitio web de Ticketmaster por casi un año, los afectados serían los clientes internacionales de Ticketmaster que realizaron compras entre septiembre de 2017 y septiembre de 2018. Inbenta indicó que Magecart explotó varias vulnerabilidades para apuntar a sus servidores de front-end y alterar el código del chatbot.
Siguiendo el caso de Ticketmaster se descubrió que Magecart ha estado atacando proveedores de sitios e-commerce, los que proveen analítica, soporte, plugins, entre otros. El reporte indica que al menos 800 sitios de e-commerce fueron atacados en esta campaña. El mayor peligro es que si Magecart puede comprometer un proveedor ampliamente usado, entonces podrían infectar potencialmente miles de sitios rápidamente.
Protección
A nivel de red, existen firmas de IPS para distintos fabricantes.
A nivel de archivos, existen firmas para el código “Infostealer”.
A nivel de aplicación, realizar pruebas controladas cuando un proveedor actualice un plugin que se utilice en e-commerce.
Monitorear la actividad del sistema por exfiltración de datos hacia destinos inusuales.
Monitorear cambios en el código del aplicativo.
Fuentes: