Los actores de amenazas utilizaron un servicio de alojamiento de videos basado en la nube para realizar un ataque a la cadena de suministro en más de 100 sitios web inmobiliarios operados por Sotheby’s Realty que involucró la inyección de skimmers maliciosos para robar información personal confidencial.
“Otros importan videos, incluso sus sitios web están incrustados con códigos skimmer”, dijeron los investigadores de la Unidad 42 de Palo Alto Networks en un informe publicado esta semana.
Los ataques de skimmer, también llamados formjacking, se relacionan con un tipo de ataque cibernético en el que los delincuentes insertan código JavaScript malicioso en el sitio web de destino, con mayor frecuencia en las páginas de pago o de pago en portales de compras y comercio electrónico, para recopilar información valiosa como tarjetas de crédito. detalles ingresados por los usuarios.
En la última encarnación de los ataques Magecart, los operadores detrás de la campaña piratearon la cuenta de Sotheby’s Brightcove e implementaron código malicioso en el reproductor de la plataforma de video en la nube mediante la creación de un script que se puede cargar para agregar personalizaciones de JavaScript al reproductor de video.
“El atacante modificó la secuencia de comandos estática en su ubicación alojada adjuntando el código del skimmer. En la siguiente actualización del reproductor, la plataforma de video reingerió el archivo comprometido y lo entregó al reproductor afectado”. dijeron los investigadores, y agregaron que había trabajado con el servicio de video y la compañía de bienes raíces para ayudar a eliminar el malware.
Se dice que la campaña comenzó en enero de 2021, según MalwareBytes, con la información recopilada (nombres, correos electrónicos, números de teléfono, datos de tarjetas de crédito) exfiltrados a un servidor remoto “cdn-imgcloud[.]com “que también funcionó como un dominio de colección para un ataque Magecart dirigido a Amazon CloudFront CDN en junio de 2019.
Para detectar y prevenir la inyección de código malicioso en sitios en línea, se recomienda que realice verificaciones periódicas de integridad del contenido web, recordando proteger las cuentas de intentos de adquisición y prestando atención a posibles esquemas de ingeniería social.
“El skimmer en sí es muy polimórfico, esquivo y en constante cambio”, dijeron los investigadores. “Cuando se combina con plataformas de distribución en la nube, el impacto de tal skimmer podría ser muy significativo.