close
Written by Solène Gabellec
on June 24, 2020

Investigadores informaron el lunes que cibercriminales están explotando el servicio de Google Analytics para robar información de tarjetas de crédito de sitios de comercio infectados.

 

Según varios informes independientes de PerimeterX, Kaspersky y Sansec, los cibercriminales están inyectando código de robo de datos en sitios web comprometidos combinados con el código de seguimiento generado por Google Analytics para su propia cuenta. Eso les permite filtrar la información de pago ingresada por los usuarios incluso en condiciones donde las políticas de seguridad de contenido se aplican con criterios máximos.

Kapersky afirmó encontrar alrededor de dos docenas de sitios web infectados en Europa, América del Norte y del Sur que se especializaron en la venta de equipos digitales, cosméticos, productos alimenticios y repuestos.

 

Proceso de ataque

El ataque depende de la premisa de que los sitios web de comercio que utilizan el servicio de análisis web de Google para rastrear visitantes han incluido en la lista blanca los dominios asociados en su política de seguridad de contenido (CSP).

 

CSP es una medida de seguridad adicional que ayuda a detectar y mitigar las amenazas derivadas de las vulnerabilidades de secuencias de comandos en sitios cruzados y otras formas de ataques de inyección de código, incluidos los adoptados por varios grupos de Magecart.

 

La función de seguridad permite a los webmasters definir un conjunto de dominios con los que se debe permitir que el navegador web interactúe para una URL específica, evitando así la ejecución de código no confiable.

 

 

"La fuente del problema es que el sistema de reglas CSP no es lo suficientemente granular", dijo el vicepresidente de investigación de PerimeterX, Amir Shaked.

 

"Reconocer y detener la solicitud JavaScript maliciosa anterior requiere soluciones de visibilidad avanzadas que puedan detectar el acceso y la filtración de datos confidenciales del usuario (en este caso, la dirección de correo electrónico y la contraseña del usuario)".

 

Para recopilar datos utilizando esta técnica, todo lo que se necesita es un pequeño fragmento de código JavaScript que transmita los detalles recopilados, como las credenciales y la información de pago, a través de un evento y otros parámetros que Google Analytics utiliza para identificar de manera única las diferentes acciones realizadas en un sitio.

 

"Los administradores escriben * .google-analytics.com en el encabezado de Content-Security-Policy (utilizado para enumerar los recursos de los que se puede descargar el código de terceros), permitiendo que el servicio recopile datos. Además, el ataque se puede implementar sin descargando código de fuentes externas ", señaló Kaspersky.

 

Para hacer que los ataques sean más encubiertos, los atacantes también determinan si el modo desarrollador, una característica que a menudo se usa para detectar solicitudes de red y errores de seguridad, entre otras cosas, está habilitado en el navegador del visitante y procede solo si el resultado de esa verificación es negativo .

Como cliente, desafortunadamente, no hay mucho que pueda hacer para protegerse de los ataques de formjacking. Activar el modo desarrollador en los navegadores puede ayudar al realizar compras en línea.

Pero es esencial que esté atento a cualquier caso de compras no autorizadas o robo de identidad.

 

Fuente: https://thehackernews.com/2020/06/google-analytics-hacking.html

Let Us Know What You Thought about this Post.

Put your Comment Below.

You may also like:

Threat report

Ransomware usando mapa COVID-19

Hemos detectado un sitio web malicioso que se encuentra activo, el cual  está distribuyendo archivos sospechosos. Los mi...

Threat report

Intel processors – Another flaw but no patch available this time.

Researchers have discovered a new vulnerability that affects Intel processors, and that, for now, has no solution.

Vulnerability Threat report

Flaw in WhatsApp – A backdoor to hack your computer

A group of researchers has found several security flaws in WhatsApp that are threatening thousands of computers. One of ...