Los piratas informáticos apuntan a los sitios web de bienes raíces con skimmer en el último ataque a la cadena de suministro

Los actores de amenazas utilizaron un servicio de alojamiento de videos basado en la nube para realizar un ataque a la cadena de suministro en más de 100 sitios web inmobiliarios operados por Sotheby’s Realty que involucró la inyección de skimmers maliciosos para robar información personal confidencial.

“Otros importan videos, incluso sus sitios web están incrustados con códigos skimmer”, dijeron investigadores de la Unidad 42 de Palo Alto Networks en un informe publicado esta semana.

Los ataques de skimmer, también llamados formjacking, se relacionan con un tipo de ataque cibernético en el que los delincuentes insertan código JavaScript malicioso en el sitio web de destino, con mayor frecuencia en las páginas de pago o de pago en los portales de compras y comercio electrónico, para recopilar información valiosa como tarjetas de crédito. detalles ingresados ​​por los usuarios.

En la última encarnación de los ataques Magecart, los operadores detrás de la campaña piratearon la cuenta de Sotheby’s Brightcove e implementaron código malicioso en el reproductor de la plataforma de video en la nube mediante la creación de un script que se puede cargar para agregar personalizaciones de JavaScript al reproductor de video.

“El atacante modificó el script estático en su ubicación alojada adjuntando el código del skimmer. En la siguiente actualización del reproductor, la plataforma de video reingerió el archivo comprometido y lo entregó al reproductor afectado”. dijeron los investigadores, y agregaron que había trabajado con el servicio de video y la compañía de bienes raíces para ayudar a eliminar el malware.

Se dice que la campaña comenzó en enero de 2021, según MalwareBytes, con la información recopilada (nombres, correos electrónicos, números de teléfono, datos de tarjetas de crédito) exfiltrados a un servidor remoto “cdn-imgcloud[.]com “que también funcionó como un dominio de colección para un ataque Magecart dirigido a Amazon CloudFront CDN en junio de 2019.

Para detectar y prevenir la inyección de código malicioso en sitios en línea, se recomienda que realice verificaciones periódicas de integridad del contenido web, recuerde proteger las cuentas de intentos de adquisición y preste atención a posibles esquemas de ingeniería social.

“El skimmer en sí es altamente polimórfico, esquivo y en constante cambio”, dijeron los investigadores. “Cuando se combina con plataformas de distribución en la nube, el impacto de tal skimmer podría ser muy significativo.