Tarjetas, dinero y dos llamadas: la tecnología de videollamadas ahora facilita robos a tiendas en línea
Hackers encuentran una brecha de seguridad que nadie se había ocupado de cerrar.
Los ciberdelincuentes han encontrado una nueva forma de robar datos de tarjetas bancarias que elude los mecanismos de protección habituales de las tiendas en línea. Esta vez la víctima fue un fabricante de automóviles con una facturación superior a 100.000 millones de dólares, y el código malicioso resultó mucho más sofisticado que los habituales «skimmers».
La empresa Sansec detectó un script malicioso que recopila datos de pago de los sitios y los transmite a los atacantes de una manera inusual. En lugar de las solicitudes estándar por protocolo web o imágenes ocultas, los atacantes utilizaron la tecnología WebRTC, normalmente usada para videollamadas directamente en el navegador.
La característica principal del ataque es la forma en que se transmite la carga maliciosa y los datos robados. El script establece una conexión directa con el servidor de los atacantes mediante WebRTC y recibe desde allí código adicional. Luego, ese mismo canal se utiliza para enviar la información robada. Un esquema así no se había registrado antes.
El ataque permite eludir la política de seguridad de contenido, que restringe las solicitudes de red del navegador. WebRTC funciona fuera de esas limitaciones, por lo que incluso los sitios con configuraciones estrictas siguen siendo vulnerables. La detección se complica además porque el tráfico se transmite cifrado por un protocolo no relacionado con las solicitudes web habituales. Las herramientas de protección que analizan solo el tráfico web sencillamente no detectan la fuga.
El propio código malicioso se ejecuta automáticamente al cargarse la página. Establece conexión con una dirección IP predefinida, descarga fragmentos de código y los ensambla en un único script. Después, el script se inyecta en la página, y los atacantes han previsto métodos para sortear las protecciones del navegador. Por ejemplo, el código malicioso busca marcas especiales en scripts legítimos de la página y las utiliza para evitar restricciones en la ejecución de código.
Por la hora del ataque, los atacantes podrían haber obtenido acceso al sitio a través de la vulnerabilidad PolyShell. La explotación masiva de ese problema comenzó el 19 de marzo y ahora afecta a más de la mitad de las tiendas en línea vulnerables. La vulnerabilidad permite cargar archivos en el servidor sin autorización y todavía no existe una corrección para los sistemas en producción.
El ataque contra el fabricante de automóviles formó parte de una ola más amplia de intrusiones. En los últimos dos meses, los skimmers maliciosos se han detectado al menos en cinco grandes empresas, entre ellas uno de los mayores bancos de Estados Unidos y una cadena internacional de supermercados.