Magecart pone al sector hotelero en el punto de mira

Magecart es un grupo de ciberatacantes que se ha hecho popular por sus campañas contra compañías que venden online. Su código malicioso de skimming se inserta en las webs de estos comercios para robar los datos personales y financieros de sus clientes, como detalles de tarjetas de crédito, nombres, emails o números de teléfono, entre otros. Luego, estos datos se cifran doblemente y se exfiltran a los atacantes, que lo pueden descifrar y utilizar.

También te puede interesar... Formación y concienciación para mejorar la seguridad Especial Ciberseguridad Industrial Especial Cloud

Uno de los ataques más conocidos fue el sufrido por British Airways, que fue víctima de una brecha de datos en la que los atacantes consiguieron robar los de unos 500.000 clientes, incluidos sus nombres, números de tarjetas de crédito y sus códigos CVV y direcciones de correo electrónico, un incidente por el que la aerolínea recibió una multa récord de 183 millones de libras bajo el GDPR. Pues bien, en septiembre se descubrió que dos cadenas de hoteles se habían visto afectadas por una campaña de Magecart.

Según Panda Security, en esta campaña, el código de skimming fue inyectado en las webs móviles de las dos cadenas a través de un ataque de cadena de suministro a un proveedor. En ambos casos, el proveedor fue Roomleader, una empresa que proporciona servicios de marketing digital y desarrollo web. Uno de sus servicios es un módulo que guarda en las cookies de los visitantes de la web los hoteles que han visto, un módulo que los atacantes habían infectado con JavaScript malicioso y que las dos cadenas de hoteles afectadas habían implementado.

Aunque el código de skimming es capaz de robar datos tanto de ordenadores como de dispositivos móviles, los atacantes de Magecart programaron el malware específicamente para afectar solo a los usuarios móviles. Los que visitaron la web desde un ordenador vieron un JavaScript normal. Es probable que se hiciera así para evitar que el software de seguridad que suele estar presente en los ordenadores lo detectara.

Otro truco que utilizaron los atacantes fue que el skimmer fue programado para remplazar los formularios de pago con versiones ligeramente distintas, creadas por los atacantes. Incluso tradujeron las páginas a las ocho lenguas de las webs de las víctimas. Se cree que este esfuerzo es debido a que muchos formularios de reserva de hoteles no piden el código CVV por adelantado, ya que los clientes pagan cuando llegan al hotel. Los atacantes necesitaban este código para poder utilizar los datos robados, así que crearon una versión del formulario que lo pedía.