Hack de la Agencia Espacial Europea secuestra la tienda oficial para robar datos de clientes

[ad_1]

Investigadores de seguridad encontraron un script malicioso en la tienda web de la ESA
El script crea una página Stripe falsa al finalizar la compra, obteniendo datos de pago
La tienda no está disponible actualmente.

El sitio web de la Agencia Espacial Europea (ESA) se vio recientemente comprometido con un skimmer de tarjetas de crédito, poniendo a innumerables personas en riesgo de sufrir fraude electrónico.

Los investigadores de Sansec detectaron un script malicioso en la tienda web de la ESA y determinaron que crea una página de pago Stripe falsa al finalizar la compra, donde recopila información del cliente.

También se estaban recopilando datos de pago, incluida información confidencial de tarjetas de crédito, lo que hacía que este ataque fuera particularmente peligroso.

¿Fuera del control de la ESA?

Los datos confidenciales fueron recopilados y enviados a un dominio con el mismo nombre que el legítimo de la ESA, pitidocomputadora informes. El dominio de nivel superior, sin embargo, era diferente ya que en lugar del habitual TLD .com, el dominio aquí era .pics.

Tan pronto como Sansec detectó el ataque, notificó a la ESA, que cerró temporalmente la tienda.

Al momento de esta publicación, todavía estaba fuera de línea y mostraba el Error 503: Servicio no disponible. «Nuestro sitio está temporalmente fuera de órbita para realizar algunas renovaciones interesantes», dice la tienda. «Por favor, pasa volando más tarde».

Respondiendo a pitidocomputadoraEn la solicitud de comentarios, la ESA dijo que la tienda no está alojada en su infraestructura y, como tal, no es quien administra los datos.

«Esto podría confirmarse con una simple búsqueda en whois, que muestra detalles completos del dominio de la ESA (esa.int) y su tienda web, donde los datos de contacto se eliminan por motivos de privacidad». pitidocomputadora concluyó.

Hasta el momento, ningún actor de amenazas ha asumido la responsabilidad de este ataque y, en este tipo de incidentes, rara vez lo hacen. Sin embargo, Magecart es un actor de amenazas infame y mundialmente conocido, que en el pasado fue observado instalando skimmers de tarjetas de crédito en importantes sitios web.

La última vez que supimos de Magecart fue en marzo de 2023, cuando Malwarebytes especuló que el grupo podría estar detrás del ataque a múltiples tiendas de comercio electrónico en línea.

Cuando los delincuentes utilizan las tarjetas de crédito de las personas, las víctimas pueden obtener un reembolso de su banco. Sin embargo, los ciberdelincuentes pueden usar el dinero para financiar campañas publicitarias que distribuyen más malware y, cuando se bloquean las tarjetas y se devuelven los fondos, el daño ya está hecho.