Actualización (2) : un portavoz de Tupperware ha hecho una declaración pública a Alex Scroxton, editor de seguridad de ComputerWeekly. Puedes leerlo aquí .

Actualización : Después de nuestra publicación en el blog, continuamos monitoreando el sitio web de Tupperware. A partir del 25/03 a las 1:45 p.m. PT, notamos que el archivo PNG malicioso se había eliminado, seguido más tarde por el JavaScript que estaba presente en la página de inicio.

El 20 de marzo, Malwarebytes identificó un ataque cibernético dirigido contra la marca doméstica Tupperware y sus sitios web asociados que todavía está activo en la actualidad. Intentamos alertar a Tupperware inmediatamente después de nuestro descubrimiento, pero ninguna de nuestras llamadas o correos electrónicos fueron respondidos.

Los actores de la amenaza comprometieron el sitio oficial de tupperware [.] Com, que promedia cerca de 1 millón de visitas mensuales , así como algunas de sus versiones localizadas al ocultar código malicioso dentro de un archivo de imagen que activa un formulario de pago fraudulento durante el proceso de pago. Este formulario recopila datos de pago del cliente a través de un skimmer digital de tarjetas de crédito y los pasa a los cibercriminales con los compradores de Tupperware de ninguna manera.

Los skimmers digitales de tarjetas de crédito, también conocidos como skimmers web , continúan siendo una de las principales amenazas web que monitoreamos en Malwarebytes. Durante los últimos años, varios delincuentes (generalmente vinculados a grupos organizados de Magecart ) han estado comprometiendo activamente las plataformas de comercio electrónico con el objetivo de robar datos de pago de compradores inconscientes.

A la luz del brote de COVID-19 , el volumen de personas que compran en línea ha aumentado dramáticamente, y hay pocas dudas de que un mayor número de transacciones se verán afectadas por los skimmers de tarjetas de crédito en el futuro.

Hubo una buena cantidad de trabajo en el compromiso de Tupperware para integrar el skimmer de tarjetas de crédito sin problemas y permanecer sin ser detectado por el mayor tiempo posible. A continuación, le mostramos cómo descubrimos el skimmer y analizamos la amenaza y sus técnicas de ataque.

Contenedor de iframe de pícaro

Durante uno de nuestros rastreos web, identificamos un iframe de aspecto sospechoso cargado desde deskofhelp [.] Com cuando visitamos la página de pago en tupperware [.] Com. Este iframe es responsable de mostrar los campos de formulario de pago presentados a los compradores en línea.

Hay algunas banderas rojas con este nombre de dominio:

  • Fue creado el 9 de marzo y, como vemos en muchos sitios web fraudulentos, los dominios recientemente registrados son a menudo utilizados por actores de amenazas antes de una nueva campaña.
  • Está registrado en elbadtoy @ yandex [.] Ru , una dirección de correo electrónico con el proveedor ruso Yandex. Esto parece contradictorio para un formulario de pago en un sitio web de marca estadounidense.
  • Está alojado en un servidor en 5.2.78 [.] 19 junto con una serie de dominios de phishing .

Curiosamente, si inspeccionara el código fuente HTML de la página de pago, no vería este iframe malicioso. Esto se debe a que se carga dinámicamente solo en el Modelo de objetos de documento (DOM).

Una forma de revelar este iframe es hacer clic derecho en cualquier lugar dentro del formulario de pago y elegir «Ver fuente de marco» (en Google Chrome). Se abrirá una nueva pestaña que muestra el contenido cargado por deskofhelp [.] Com.

Hay un pequeño defecto en la integración del skimmer de tarjetas de crédito: los atacantes no consideraron cuidadosamente (o tal vez no les importó) cómo debería verse el formulario malicioso en las páginas localizadas. Por ejemplo, la versión en español del sitio Tupperware está escrita en español, pero el formulario de pago falso todavía está en inglés:

A continuación se muestra la forma legítima (en español):

Más trucos para engañar a los compradores

Los delincuentes idearon su ataque de skimmer para que los compradores primero ingresen sus datos en el iframe falso y luego se les muestre inmediatamente un error, disfrazado como un tiempo de espera de la sesión.

Esto permite que los actores de la amenaza recarguen la página con el formulario de pago legítimo. Las víctimas ingresarán su información por segunda vez, pero para entonces, el robo de datos ya ha sucedido.

Tras una inspección minuciosa, vemos que los estafadores incluso copiaron el mensaje de tiempo de espera de sesión de CyberSource, la plataforma de pago utilizada por Tupperware. El formulario de pago legítimo de CyberSource incluye una función de seguridad donde, si un usuario está inactivo después de un cierto período de tiempo, el formulario de pago se cancela y aparece un mensaje de tiempo de espera de sesión. Nota: también contactamos a Visa, propietaria de CyberSource, para denunciar este abuso.

Todavía puede detectar una ligera diferencia entre la página de tiempo de espera legítimo (cargada de secureacceptance.cybersource.com) y la falsa. El primero contiene el texto «Sesión expirada» en negrita, texto negro, mientras que el segundo presenta texto gris que es a la vez una fuente más pequeña y diferente.

Los datos robados se envían al mismo dominio utilizado para alojar el iframe falso. Los estafadores ahora están en posesión de los siguientes datos de compradores inconscientes:

  • Nombre y apellido
  • Dirección de Envio
  • Número de teléfono
  • Número de tarjeta de crédito
  • fecha de expiración de la tarjeta de crédito
  • Tarjeta de crédito CVV

Otro caso de esteganografía.

Para identificar cómo funcionaba el ataque del skimmer de tarjetas, necesitábamos retroceder algunos pasos y examinar todos los recursos web cargados por tupperware [.] Com, incluidos los archivos de imagen.

Este proceso puede llevar mucho tiempo, pero es necesario para determinar cómo se inyecta el iframe falso. Encontramos un fragmento de código en la página de inicio que llama dinámicamente un ícono de preguntas frecuentes desde el servidor de Tupperware, que se carga silenciosamente (y por lo tanto no es visible para los compradores). La imagen contiene un archivo PNG con formato incorrecto que es bastante sospechoso.

Mirando este archivo usando un editor hexadecimal, podemos ver las diferentes secciones de la imagen. Si bien IEND debe marcar el final del archivo, después de algunos espacios en blanco, hay una gran extensión de JavaScript que incluye varias partes que se han codificado.

En este punto, aún no sabíamos qué debía hacer el código, pero podríamos decir que era algún tipo de ataque esteganográfico, una técnica que observamos en los skimmers web a fines del año pasado. Una forma de averiguarlo es depurar el código JavaScript, a pesar de los intentos del autor del malware de bloquear el depurador.

Una vez que superamos ese obstáculo, finalmente podríamos confirmar que el código incrustado en esta imagen PNG es responsable de cargar el iframe falso en la página de pago:

Hay un código adicional para que el skimmer se cargue sin problemas y de forma encubierta. Los actores de la amenaza en realidad están ocultando el iframe de pago legítimo y protegido haciendo referencia a su ID y utilizando la configuración { display: none }.

También se hace referencia al formulario de pago falso para que encaje en su lugar y se vea exactamente igual (excepto en versiones localizadas). Esto requirió un esfuerzo por parte de los estafadores para imitar el mismo estilo y funcionalidad.

El dominio deskofhelp [.] Com contiene un conjunto de archivos de JavaScript, CSS e imagen para ese efecto y, por supuesto, el código para verificar y filtrar los datos de pago.

Compromiso del sitio

Una pregunta que aún no hemos respondido es cómo se carga la imagen PNG maliciosa. Sabemos que el JavaScript incrustado carga el código dinámicamente en el DOM, pero algo debe llamar primero a ese archivo PNG, y eso debería ser visible en el código fuente HTML.

Para que la identificación sea un poco más difícil, el código se ha desglosado. Sin embargo, podemos reconstruirlo y ver cómo se crea la URL que carga el archivo PNG mediante la concatenación de cadenas, por ejemplo.

Este código es útil para determinar un marco de tiempo para cuando ocurrió el compromiso del sitio web. Aunque no tenemos archivos, sabemos por fuentes externas, como este rastreo de WayBackMachine , que el código no estaba presente en febrero. El hack probablemente ocurrió después del 9 de marzo, que es cuando el dominio malicioso deskofhelp [.] Com se activó.

No sabemos exactamente cómo fue pirateado Tupperware, pero un escaneo a través de SiteCheck de Sucuri muestra que pueden estar ejecutando una versión desactualizada del software Magento Enterprise.

Divulgación y protección.

Al identificar este compromiso, llamamos a Tupperware por teléfono varias veces y también enviamos mensajes por correo electrónico, Twitter y LinkedIn. Sin embargo, al momento de la publicación, aún no hemos recibido noticias de la compañía y el sitio sigue comprometido.

Los usuarios de Malwarebytes están protegidos contra este ataque, incluidos aquellos que ejecutan nuestra extensión gratuita Browser Guard .

Actualizaremos este blog si recibimos información adicional.

Indicadores de compromiso

Archivo PNG malicioso alojado en sitios Tupperware (EE. UU. Y Canadá):

tupperware [.] com / media / wysiwyg / faq_icon.png
es.tupperware [.] com / media / wysiwyg / faq_icon.png

tupperware [.] ca / ​​media / wysiwyg / faq_icon.png
fr.tupperware [.] ca / ​​media / wysiwyg / faq_icon.png

SHA-256 de PNG malicioso

d00f6ff0ea2ad33f8176ff90e0d3326f43209293ef8c5ea37a3322eceb78dc2e

Infraestructura de skimmer

deskofhelp [.] com
5.2.78 [.] 19