FormJacking una amenaza popular que vive en el ciberespacio.

El gigante de la CiberSeguridad Symantec, liberó en el mes de Febrero un nuevo reporte donde indica que se están marcando nuevas tendencias en los ciberataques. Los ciberdelincuentes siempre buscarán un método de hacer dinero fácil, antes lo era con las extorsiones, después con los ransomwares y ahora con el FormJacking, un ataque que hará temblar a las tiendas online.

El FormJacking consiste en un ataque dirigido a los formularios de compra de tiendas online, en la cual el atacante logra realizar mediante un javascript el robo de la información de la transacción de tu compra obteniendo los datos de tu tarjeta de crédito.


El código que se muestra en la Figura, recopila la información de pago ingresada por los usuarios en el sitio web y la publica en el dominio google-analyitics.org. Este dominio es una versión tipográfica del dominio legítimo de Google Analytics, google-analytics.com.

Esto no fue algo nuevo para Symantec, teniendo en cuenta la cantidad de inyecciones de script de robo de información de pagos que se ve diariamente, sin embargo, al profundizar en la telemetría, symantec encontró un patrón interesante. Observaron sitios web populares de diferentes países, como los EE. UU., Japón, Australia y Alemania, redireccionando a este sitio web de París. Esto creó una cadena de redireccionamiento interesante ya que los clientes de todos estos sitios web se estaban infectando con el secuestro de formularios al mismo tiempo. La figura 2 muestra cómo funciona esta cadena de infección.


Esta cadena de ataques es única en el sentido de que se diferencia del ataque tradicional al ataque de forma sistemática de la cadena de suministro, donde los atacantes comprometen a los proveedores de bibliotecas de scripts de terceros. Dado que muchos sitios web cargan estos scripts, en sitios de terceros el atacante logra cargar su código malicioso en una gran cantidad de sitios web al mismo tiempo. En este caso, el sitio web de redireccionamiento y el sitio web comprometido en muchos casos provienen de diferentes áreas del panorama de las compras en línea, y se ocupan de espacios de productos completamente diferentes.

Recomendación ante este tipo de ataques



Los propietarios de sitios web también deben ser conscientes de los peligros de los ataques de la cadena de suministro de software, ya que se han utilizado como el vector de infección en algunos de estos ataques de ataque de formulario. Los ataques a la cadena de suministro de software pueden ser difíciles de proteger, pero hay algunos pasos que los propietarios de sitios web pueden tomar:


  • Pruebe primero las nuevas actualizaciones, incluso las que parezcan legítimas, en entornos de prueba pequeños o en entornos limitados, para detectar cualquier comportamiento sospechoso.
  • El monitoreo de comportamiento de toda la actividad en un sistema también puede ayudar a identificar cualquier patrón no deseado y permitirle bloquear una aplicación sospechosa antes de que se pueda hacer cualquier daño.
  • Los productores de paquetes de software deben asegurarse de que son capaces de detectar cambios no deseados en el proceso de actualización del software y en su sitio web.



Fuente: https://www.symantec.com/content/dam/symantec/docs/reports/istr-24-executive-summary-en.pdf
https://www.symantec.com/blogs/threat-intelligence/formjacking-targeting-popular-stores