Hackers usan Google Analytics para evitar la seguridad de la web y robar tarjetas de crédito

El «web skimming» es una clase común de ataques generalmente dirigidos a los compradores en línea. El principio es bastante simple: se inyecta un código malicioso en el sitio comprometido, que recoge y envía los datos introducidos por el usuario a un recurso cibercriminal. Si el ataque tiene éxito, los ciberdelincuentes acceden a la información de pago de los compradores.

Los investigadores informaron el lunes que los hackers están explotando el servicio de Google Analytics para robar sigilosamente información de tarjetas de crédito de sitios de comercio electrónico infectados.

Según varios informes independientes de PerimeterX, Kaspersky y Sansec, los actores de la amenaza están ahora inyectando código de robo de datos en los sitios web comprometidos en combinación con código de seguimiento generado por Google Analytics para su propia cuenta, lo que les permite exfiltrar la información de pago introducida por los usuarios incluso en condiciones en las que se aplican políticas de seguridad de contenidos para una máxima seguridad en la web.

«Los atacantes inyectaron código malicioso en los sitios, que recogieron todos los datos introducidos por los usuarios y luego los enviaron a través de Analytics»,»Como resultado, los atacantes pudieron acceder a los datos robados en su cuenta de Google Analytics».

dijo Kaspersky en un informe publicado ayer.

La empresa de seguridad cibernética dijo que había encontrado alrededor de dos docenas de sitios web infectados en toda Europa y América del Norte y del Sur que se especializaban en la venta de equipo digital, cosméticos, productos alimenticios y piezas de repuesto.

Evitando CSP (Content Security Policy, Política de seguridad de contenidos)

El ataque parte de la premisa de que los sitios web de comercio electrónico que utilizan el servicio de análisis web de Google para el seguimiento de los visitantes han incluido en su política de seguridad de contenidos (CSP) una lista blanca de los dominios asociados.

El CSP es una medida de seguridad añadida que ayuda a detectar y mitigar las amenazas derivadas de las vulnerabilidades de cross-site scripting y otras formas de ataques de inyección de código, incluidas las adoptadas por diversos grupos de Magecart.

La función de seguridad permite a los webmasters definir un conjunto de dominios con los que se debe permitir que el navegador interactúe para una URL específica, evitando así la ejecución de código no fiable.

credit card hacking

«La fuente del problema es que el sistema de reglas de CSP no es lo suficientemente granular», dijo el vicepresidente de investigación de PerimeterX, Amir Shaked. «Reconocer y detener la solicitud maliciosa de JavaScript antes mencionada requiere soluciones de visibilidad avanzadas que puedan detectar el acceso y la exfiltración de datos sensibles del usuario (en este caso, la dirección de correo electrónico y la contraseña del usuario)».

Para recoger datos mediante esta técnica, todo lo que se necesita es un pequeño trozo de código JavaScript que transmite los detalles recogidos, como credenciales e información de pago, a través de un evento y otros parámetros que Google Analytics utiliza para identificar de forma única las diferentes acciones realizadas en un sitio.

«Los administradores escriben *.google-analytics.com en el encabezado de la Política de seguridad de contenidos (utilizado para listar recursos de los que se puede descargar código de terceros), lo que permite al servicio recopilar datos. Además, el ataque puede implementarse sin necesidad de descargar código de fuentes externas», señaló Kaspersky.

Para que los ataques sean más encubiertos, los atacantes también averiguan si el modo de desarrollo -una característica que a menudo se utiliza para detectar solicitudes de red y errores de seguridad, entre otras cosas- está habilitado en el navegador del visitante, y proceden sólo si el resultado de esa comprobación es negativo.

Una campaña «novedosa» desde marzo

En un informe separado publicado ayer, Sansec, con sede en los Países Bajos, que hace un seguimiento de los ataques de skimming digital, descubrió una campaña similar desde el 17 de marzo que entregó el código malicioso en varias tiendas utilizando un código JavaScript que está alojado en la base de datos de Firebase de Google.

Por ofuscación, el actor detrás de la operación creó un iFrame temporal para cargar una cuenta de Google Analytics controlada por el atacante. Los datos de la tarjeta de crédito introducidos en los formularios de pago se encriptan y se envían a la consola de análisis desde donde se recuperan utilizando la clave de encriptación utilizada anteriormente.

Dado el uso generalizado de Google Analytics en estos ataques, las contramedidas como CSP no funcionarán si los atacantes se aprovechan de un dominio ya permitido para secuestrar información sensible.

google analytics
google analytics

«Una posible solución vendría de los URL adaptables, añadiendo la identificación como parte del URL o subdominio para permitir a los administradores establecer reglas de CSP que restrinjan la exfiltración de datos a otras cuentas», concluyó Shaked.

«Una dirección futura más granular para fortalecer la dirección de la PSC a considerar como parte de la norma de la PSC es la aplicación de los poderes XHR. Esto creará esencialmente un WAF del lado del cliente que puede hacer cumplir una política sobre dónde se permite la transmisión de campos de datos específicos».

Como cliente, desafortunadamente, no hay mucho que puedas hacer para protegerte de los ataques de robo de formularios. Activar el modo de desarrollo en los navegadores puede ayudar a la hora de hacer compras online.

Pero es esencial que esté atento a cualquier caso de compras no autorizadas o de robo de identidad.

Fuente: thehackernews

Comments are closed.