13 de septiembre de 2018

Magecart detrás de la sustracción de información de pago de los clientes de British Airways

El pasado 6 de septiembre, la aerolínea británica British Airways, anunció que había sufrido un ataque que provocó el robo de información confidencial de 380,000 de sus clientes. Entre la información sustraída se encuentra información personal de los usuarios y de los métodos de pago usados por los mismos.




La misma British Airways a través del comunicado aportaba la siguiente información. En primer lugar, acotaba el tiempo que habían estado expuestos a este ataque, situaba el mismo entre las 22:58 horas del 21 de agosto y las 21:45 horas del 5 de septiembre de 2018, todo según la franja horaria UTC+1. Además aportan datos que hacían prever el 'modus operandi' del ataque. Estos datos aclaran que los usuarios debían de haber llevado una compra desde su web principal o aplicación móvil.

El investigador de seguridad Yonathan Klijnsma de la empresa RiskIQ ha aportado datos que arrojan detalles de esta brecha de seguridad la cuál ha relacionado directamente con el grupo Magecart. Que para nuestros lectores son los mismos que perpetraron el ataque contra Ticketmaster el pasado mes de junio del cual hablamos en la siguiente noticia.

Los datos aportados por la empresa RiskIQ aportan una visión clara de cómo funciona este grupo organizado. Pueden leerlo en su artículo.

De forma resumida, los atacantes lograron hacerse con el control del servidor, una vez dentro ocultaron código Javascript dentro de una librería conocida (Modernizr), para no levantar sospechas. Este código fraudulento era el encargado de ir recolectando la información. 

Pero, ¿y la aplicación Android?, fácil, la aplicación recogía información desde el servidor actuando como 'webview'. La web referenciada también incluía la versión modificada de la librería Modernizr por lo que el código se cargaba también en los terminales

Sin duda un ataque con un alto nivel de especialización y 100% dirigido que nos hacen hablar de un concepto que cada vez suena con más fuerza los skimmers virtuales, métodos de robo colocado dentro del código que maneje información de pago para el robo de la misma.




☛ El artículo completo original de [email protected] (Fernando Ramírez) lo puedes ver aquí