Usan un skimmer para robar datos de más de un centenar de páginas webs inmobiliarias

El skimmer se mantenía oculto en una plataforma de vídeo en la nube y ha estado operando desde hace un año.

Alberto Payo

Periodista

Guardar

Imagen de recurso sector inmobiliario.
Imagen de recurso sector inmobiliario.

Para los cibermalos cualquier lugar puede resultar óptimo para alojar un elemento malicioso que les permita acceder a datos con los que perpetrar sus maldades. 

Se acaba de descubrir cómo los ciberdelincuentes han aprovechado un servicio de alojamiento de vídeos en la nube para llevar a cabo un ataque a la cadena de suministro en más de un centenar de páginas de Real State operadas por Sotheby´s International Realty. Los hackers han operado inyectando skimmer maliciosos con el fin de robar información personal confidencial. 

Un 'skimmer' en ciberseguridad es un dispositivo técnico especial que puede leer información de tarjetas bancarias para usarlas de manera fraudulenta a posteriori por parte de los actores de amenazas. 

Pero también hay skimmers virtuales que funcionan ocultándose en las imágenes que se usan en los botones de redes sociales y tratan de robar información de las tarjetas de crédito ingresadas en los formularios de tiendas online. Este es el tipo usado en este caso. 

Los ataques de skimming, a los que se conoce como 'formjacking' suponen que los ciberdelincuentes insertan código JavaScript en el sitio de destino para recopilar información valiosa como tarjetas de crédito. Generalmente esto se hace en páginas de pago o portales de compra, según explican en TheHackerNews

"El atacante ha inyectado los códigos JavaScript del skimmer en el vídeo, por lo que cada vez que otros importan el vídeo, sus sitios web también se incrustan con códigos skimmer", han explicado investigadores de la Unit 42 de Palo Alto Networks en un informe publicado esta semana.

En este caso los atacantes han violado la cuenta de Brightcove de Sotheby´s implementando código malicoso en el reproductorr de la plataforma de vídeo en la nube, manipulando un script que se puede cargar para añadir personalizaciones a dicho reproductor. 

Una campaña con un año de vida

Según MalwareBytes, la campaña habría comenzado en enero de 2021, recopilando información de nombres, emails, números de teléfono, datos de tarjetas de crédito. etc. 

"El skimmer en sí es altamente polimórfico, esquivo y en continua evolución", han comentado los investigadores. "Cuando se combina con plataformas de distribución en la nube, el impacto de un skimmer de este tipo podría ser muy grande".

Para detectar y prevenir la inyección de código malicioso en sitios online, es recomendable llevar a cabo verificaciones de integridad del contenido web de manera periódica.