Saltar al contenido
Blog Tecnología

Cuando los piratas informáticos ocultan los datos bancarios en archivos JPG

marzo 28, 2021

A principios de este mes, JugosBlog nos informó que los piratas informáticos han utilizado un nuevo método “innovador” para robar la información confidencial de los usuarios de Internet, en particular de las plataformas de comercio electrónico.

De hecho, un estudio reciente sobre un sitio web pirateado de Magento 2 encontró que los piratas informáticos inyectaban malware que podía capturar los datos de las solicitudes POST de los visitantes del sitio. El malware se colocó en la interfaz de pago y se utilizó para codificar los datos capturados y luego guardarlos en un archivo JPG.

Foto de Clint Patterson – Unsplash.com

Según la información de SucuriBlog, el código PHP se ha inyectado en el archivo ./vendor/magento/module-customer/Model/Session.php. Una función getAuthenticates también habría estado presente en el sitio pirateado que se utilizó para cargar el resto del código malicioso.

Al almacenar los datos robados en un archivo JPG, los piratas informáticos no despiertan las sospechas de los propietarios del sitio.

De hecho, el código creó un archivo de imagen (pub / media / tmp / design / file / default_luma_logo.jpg) en el que almacena todos los datos capturados. El hacker utiliza este código para descargar y acceder fácilmente a los datos robados sin despertar la sospecha del administrador del sitio, ya que estos datos se almacenan en un JPG que, a primera vista, parece bastante común.

Sin embargo, el código PHP utiliza el marco de código de Magento para capturar datos POST. Para hacer esto, usa la función getPostValue de Magento para guardar los datos en la interfaz de pago en la función Customer_POST.

Los profesionales de la ciberseguridad podrían prevenir estos ataques

Luego, el código usa la función isLoggedIN de Magento para verificar si la víctima ha iniciado sesión en el sitio como usuario. En este caso, el código también recupera su dirección de correo electrónico. Los datos POST capturados se codifican en base64 y se guardan en el mismo archivo JPG. Entre la información robada se encuentran los nombres y direcciones completos de las víctimas, los datos de sus tarjetas de pago y sus números de teléfono.

Según SucuriBlog, una vez en manos de los piratas informáticos, estos datos se pueden utilizar para fraudes con tarjetas de crédito, campañas de phishing dirigidas y correos electrónicos no deseados para las víctimas. Para contrarrestar estos ataques, los expertos recomiendan utilizar servicios de monitoreo de sitios web, que detectarán cualquier cambio o la adición de nuevos archivos al sitio web.