Investigadores han advertido que los visitantes de al menos 17 sitios de comercio electrónico, incluido Casio UK, podrían haber sufrido el robo de los datos de sus tarjetas de crédito por parte de un malware skimmer web.

Jscrambler afirmó que la infección de casio.co.uk estuvo activa entre el 14 y el 24 de enero, pero que la empresa de electrónica la remedió tan pronto como se le notificó sobre el problema de seguridad el 28 de enero.

El proveedor de seguridad afirmó que los skimmers probablemente se cargaron explotando componentes vulnerables en el software de comercio electrónico Magento utilizado para ejecutar los sitios.

Un cargador de skimmer inicial, que se podía encontrar directamente desde la página de inicio, obtuvo un skimmer de segunda etapa de un proveedor de alojamiento ruso. Jscrambler dijo que se utilizó el mismo host para todas las víctimas, aunque algunos de los dominios de skimmer diferían.

Lea más sobre los ataques de skimming digital: Los ataques de skimming web en la cadena de suministro afectan a docenas de sitios

La carga útil de la segunda etapa se ofuscó de una manera bastante rudimentaria, a través de una técnica personalizada «utilizada desde al menos 2022 por los actores de amenazas de skimming web», así como una «técnica de ocultación de cadenas basada en XOR».

En lugar de dirigir a las víctimas a la página de pago del sitio web para recopilar los datos de su tarjeta, como ocurre en la mayoría de los ataques de skimming, el código malicioso en este caso sigue un modelo diferente.

A las víctimas se les pedirá primero que rellenen su correo electrónico, nombre y apellido, dirección, ciudad, país, código postal y número de teléfono, antes de que se les presenten algunos detalles sobre los costes de envío. Tras hacer clic en “continuar”, accederán a otra página del formulario de pago para introducir el número de su tarjeta de crédito, su nombre, la fecha de caducidad y el CVV.

Al hacer clic en el botón “Pagar ahora”, se activa un mensaje de alerta de JavaScript que dice: “Verifique su información de facturación e inténtelo de nuevo”, según los investigadores.

“Tras hacer clic en Aceptar, el skimmer activa el proceso de exfiltración y redirige a los usuarios a la página legítima de ‘pago’, en la que se les pide que rellenen los datos exactos de nuevo. “Esto se conoce en el mundo PCI DSS v4 como un ataque de skimming de doble entrada”, agregaron.

“Sin embargo, un detalle curioso es que si los usuarios hacen clic en ‘comprar ahora’ en lugar de ‘agregar al carrito’, el formulario falso no se inyecta, ya que no coincide con el flujo que espera el código de skimming. Esto es una señal de que los actores de amenazas de skimming web no dedican mucho tiempo a perfeccionar sus flujos de skimming”.

En lugar de confiar en el estándar de Política de Seguridad de Contenido (CSP) que requiere mucho tiempo y trabajo para proteger sus sitios, los minoristas en línea harían mejor en instalar “soluciones de monitoreo de sitios web fáciles de usar y de rápida implementación” para detectar y eliminar cualquier infección de skimming, concluyó Jscrambler.