Miles de millones en ciberseguridad, pero una brecha en su tienda de tazas: otro fallo de seguridad de un gigante financiero estadounidense

Los empleados de uno de los tres mayores grupos bancarios de Estados Unidos pudieron durante casi un día introducir sus nombres de usuario, contraseñas y datos de pago directamente en manos de los atacantes. La empresa Sansec informó que detectó un keylogger en JavaScript activo en la tienda interna de merchandising para el personal. A través de este sitio más de 200.000 empleados solicitan artículos de la marca, y fue allí donde el malware interceptaba todo lo que las personas tecleaban en los formularios, incluidas las credenciales, los números de tarjetas bancarias y la información personal.

Según Sansec, el ataque pasó desapercibido para otros proveedores de soluciones de seguridad. Al momento del descubrimiento, según la empresa, no hubo detecciones por parte de proveedores competidores. Esto es especialmente preocupante para el sector bancario, porque los empleados con frecuencia reutilizan contraseñas laborales en servicios externos. En ese escenario, la fuga puede convertirse no solo en un problema de datos de pago, sino en un punto de entrada conveniente a la infraestructura corporativa si las cuentas robadas coinciden con las que se usan en los sistemas de trabajo.

Sansec subraya además que este tipo de tiendas para empleados a menudo quedan al margen de las auditorías estándar de seguridad. Formalmente no es el sitio bancario principal ni la banca por internet, pero en la práctica allí igualmente se introduce información sensible. Según los investigadores, por eso estas plataformas se convierten en un objetivo atractivo para ataques a la cadena de suministro e inyección de scripts del lado del cliente.

Técnicamente, el ataque consistió en la inyección de código JavaScript malicioso en el código fuente de la tienda. Se empleó un esquema en dos fases. Primero un pequeño cargador comprobaba si la página de finalización de compra estaba abierta, buscando la palabra checkout en la dirección. Si se cumplía la condición, cargaba un script externo desde el dominio js-csp.com en la ruta getInjector. Para enmascarar cadenas se aplicó una ofuscación sencilla mediante conjuntos de códigos de caracteres, destinada a complicar el análisis estático.

La segunda etapa recopilaba el contenido de todos los campos de entrada en la página, incluidos input, select y textarea. Luego los datos se enviaban hacia el exterior mediante el llamado image beacon. En este enfoque la fuga se realiza como la carga de una imagen por una URL especialmente formada, lo que ayuda a sortear algunas restricciones de red y reglas de monitoreo. En la petición se añadían datos en base64 y la fuente de la página.

Sansec vincula la infraestructura y los patrones de código con ataques previos de la misma clase. Como ejemplo se cita un incidente del año pasado, en el que se usó una ruta similar getInjector, pero en otro dominio. En los últimos 12 meses la empresa registra cinco dominios que han aparecido en campañas con este método de inyección.

Un detalle adicional que complicó la respuesta fueron las comunicaciones. Sansec afirma que intentó notificar con urgencia al banco por correo electrónico y a través de LinkedIn. Además, la organización no publica un contacto para investigadores en el archivo security.txt, que se considera el estándar de la industria para la divulgación responsable de vulnerabilidades. Como resultado, encontrar la dirección correcta para el aviso de emergencia resultó ser más difícil de lo que debería en estas situaciones. Según Sansec, el código malicioso estuvo en el sitio alrededor de 18 horas y, en este momento, probablemente ya ha sido eliminado.