Umbro, la popular marca de ropa deportiva, ha tenido su sitio web Umbro Brasil pirateado e inyectado con no uno sino dos skimmers web parte del grupo Magecart.

Magecart se ha convertido en un nombre familiar en los últimos meses debido a los ataques de alto perfil en varios sitios web de comerciantes. Los delincuentes pueden robar sin problemas el pago y la información de contacto de los visitantes que compran productos o servicios en línea.

Múltiples actores de amenazas están compitiendo en diferentes escalas para obtener su parte del pastel. Como resultado, hay muchos scripts y grupos de skimming web que se centran en tipos particulares de comerciantes o áreas geográficas.

Por ejemplo, en este compromiso de Umbro Brasil, uno de los dos scripts de skimming comprueba la presencia de otro código de skimming y, si está presente, modificará ligeramente el número de tarjeta de crédito que ingresó la víctima. Efectivamente, el primer skimmer recibirá números de tarjeta de crédito incorrectos como un acto directo de sabotaje.

Dos skimmers van de cabeza a cabeza

El sitio web de Umbro Brasil ( umbro.com [.] Br ) ejecuta la plataforma de comercio electrónico Magento. El primer skimmer se carga a través de un dominio falso de la biblioteca BootStrap bootstrap-js [.] Com , recientemente discutido por Brian Krebs . Mirando su código, vemos que se ajusta al perfil de los actores de amenazas predominantemente activos en América del Sur, según un informe reciente de RiskIQ .

1er skimmer con código expuesto a simple vista (condicional con verificación de referencia)

Este skimmer no está ofuscado y filtra los datos en una salida JSON estándar. Sin embargo, otro skimmer también está presente en el mismo sitio, cargado desde g-statistic [.] Com . Esta vez, está muy ofuscado como se ve en la siguiente imagen:

2do skimmer, mostrando una gran burbuja de ofuscación

No hay juego limpio entre los grupos de Magecart

Otro aspecto interesante es cómo el segundo skimmer altera el número de tarjeta de crédito del primer skimmer. Antes de que se envíen los datos del formulario, toma el número de la tarjeta de crédito y reemplaza su último dígito con un número aleatorio.

El siguiente fragmento de código muestra cómo ciertos nombres de dominio activan este mecanismo. Aquí reconocemos bootstrap-js [.] Com, que es el primer skimmer. Luego, se genera un entero aleatorio que va de 0 a 9 para su uso posterior. Finalmente, se quita el último dígito de la tarjeta de crédito y se usa el número aleatorio generado previamente.

Código para intercambiar condicionalmente el último dígito de la tarjeta de crédito (descodificación cortesía de Willem de Groot)

Al manipular los datos, el segundo skimmer puede enviar un número de tarjeta de crédito inválido pero  casi correcto al skimmer de la competencia. Debido a que solo se modificó una pequeña parte, lo más probable es que pase las pruebas de validación y salga a la venta en los mercados negros. Los compradores eventualmente se darán cuenta de que sus tarjetas de crédito compradas no funcionan y no volverán a confiar en ese vendedor.

El segundo skimmer, ahora que es el único que posee el número de tarjeta de crédito válido, utiliza una función especial para codificar los datos que extrata. En cuanto a la solicitud POST, solo podemos ver lo que parece ser un alboroto enviado a su dominio de exfiltración ( nube en línea [.] ):

Datos codificados enviados de vuelta al servidor de exfiltración

Esta situación en la que múltiples infecciones residen en el mismo host no es inusual. De hecho, a menos que se arregle una vulnerabilidad con un servidor web, puede ser propensa a varios compromisos por parte de diferentes perpetradores. A veces pueden coexistir pacíficamente, a veces compiten directamente por los mismos recursos.

El deporte más genial de la ciudad.

Si bien el web skimming ha estado funcionando durante años, ahora se ha convertido en una (re) ocurrencia muy común. El investigador de seguridad Willem de Groot ha agregado datos para sitios web de 40K desde su conteo en 2015. Su estudio también muestra que la reinfección entre sitios de comercio electrónico (20% de tasa de reinfección) es un problema que debe abordarse.

Los propietarios de sitios web que manejan el procesamiento de pagos deben hacer la debida diligencia para asegurar su plataforma manteniendo sus programas y complementos actualizados, así como prestando especial atención a los scripts de terceros.

Los consumidores también deben estar conscientes de esta amenaza cuando compran en línea, incluso si el comerciante es una marca reconocida y de buena reputación. Además de monitorear de cerca sus estados de cuenta bancarios, deben considerar formas en que puedan limitar el daño de retiros maliciosos.

Hemos informado a CERT.br de este compromiso y, aunque los skimmers todavía están en línea, los usuarios de Malwarebytes están cubiertos por nuestro módulo de protección web.

Expresiones de gratitud:

Gracias a Willem de Groot por su ayuda en esta investigación.

IOCs

Skimmers

1er skimmer: bootstrap-js [.] Com
2do skimmer: g-statistic [.] Com

Exfiltración

Dominio exfil del primer skimmer: bootstrap-js [.] Com
2.º dominio exfil del skimmer: onlineclouds [.] Cloud