Magecart representa un estil específic d’atac de furt de dades web capaç d’aprofitar les vulnerabilitats als scripts de les plataformes de comerç electrònic.

En un atac Magecart, s’insereix codi maliciós als scripts propis o de tercers, com els utilitzats a la pàgina de pagament, mitjançant l’explotació d’una vulnerabilitat. El sobrenom de Magecart sorgeix de la popular plataforma de comerç electrònic Magento. L’objectiu d’aquest és obtenir informació confidencial, com els detalls de pagament dels clients i dades d’identificació personal.

Els atacs Magecart es dirigeixen a les plataformes de comerç electrònic, aprofitant les febleses de seguretat presents als seus scripts. Aquests atacs solen ocórrer en llocs web que utilitzen dominis que encara executen versions vulnerables de les plataformes afectades. Els atacants aconsegueixen accés no autoritzat en injectar codi maliciós als scripts, la qual cosa els permet recopilar dades d’allò més valuoses.

Existeixen tres procediments principals mitjançant els quals els ciberdelinqüents duen a terme els atacs Magecart:

1. Explotació de vulnerabilitats en llocs web: Els atacants busquen llocs web que usin plataformes de comerç electrònic populars com Magento, WooCommerce, Shopify i WordPress, les quals poden tenir vulnerabilitats conegudes i documentades. Aprofitant aquestes vulnerabilitats, els atacants injecten codi maliciós al lloc web objectiu. Encara que la majoria de les vulnerabilitats estan corregides en versions actualitzades, alguns llocs web poden estar usant versions desactualitzades, la qual cosa els exposa a riscs de seguretat.
2. Modificació de scripts de tercers: Els atacants també aprofiten vulnerabilitats per editar o afegir codi maliciós als scripts de proveïdors externs que es carreguen com a part del lloc web objectiu. Aquests scripts, com els emprats per funcions de pagament o seguiment de mètriques, poden contenir bretxes de seguretat que els atacants exploten per obtenir informació confidencial.
3. Ús de dominis de serveis/proveïdors en desús: Una altra tàctica força habitual pels atacants és adquirir dominis de serveis o proveïdors que ja no s’utilitzen i carregar-los de codi maliciós. Aquests dominis poden estar associats amb recursos de tercers que es fan servir al lloc web objectiu. En injectar codi maliciós en aquests recursos, els atacants poden aconseguir accés no autoritzat a la informació confidencial dels usuaris.

A tall d’exemple, en un dels atacs detectats, l’atacant va introduir codi maliciós en un recurs propi, la qual cosa va posar en risc la informació dels usuaris que van ingressar i van enviar dades al formulari de pagament de la pàgina corresponent. Això inclou detalls sensibles com el número i el CVV de les targetes de crèdit així com el nom de les víctimes.

Un altra coneguda arremesa dent ús de Magecart, fou la d¡un grup de ciberdelinqüents que es va dirigir a una important aerolínia. Aquí, els atacants van abusar dels scripts de tercers a la pàgina de pagament. Com a resultat, es va produir el furt de dades confidencials dels usuaris, incloent-hi informació de pagament. Segons informes, aquest atac va afectar més de 350.000 clients i va resultar en una significativa multa de 20 milions de lliures esterlines que equivaldrien al voltant d’uns 25 milions de dòlars i a uns 23 milions d’euros (xifres estimades en el moment de redactar aquest article), imposada sota les regulacions del GDPR.

En tots dos casos, les dades robades van ser enviades a un servidor C2 (Command and Control).