Magecart detrás de la sustracción de información de pago de los clientes de British Airways

La misma British Airways a través del comunicado aportaba la siguiente información. En primer lugar, acotaba el tiempo que habían estado expuestos a este ataque, situaba el mismo entre las 22:58 horas del 21 de agosto y las 21:45 horas del 5 de septiembre de 2018, todo según la franja horaria UTC+1. Además aportan datos que hacían prever el ‘modus operandi’ del ataque. Estos datos aclaran que los usuarios debían de haber llevado una compra desde su web principal o aplicación móvil.

El investigador de seguridad Yonathan Klijnsma de la empresa RiskIQ ha aportado datos que arrojan detalles de esta brecha de seguridad la cuál ha relacionado directamente con el grupo Magecart. Que para nuestros lectores son los mismos que perpetraron el ataque contra Ticketmaster el pasado mes de junio del cual hablamos en la siguiente noticia.

Los datos aportados por la empresa RiskIQ aportan una visión clara de cómo funciona este grupo organizado. Pueden leerlo en su artículo.

De forma resumida, los atacantes lograron hacerse con el control del servidor, una vez dentro ocultaron código Javascript dentro de una librería conocida (Modernizr), para no levantar sospechas. Este código fraudulento era el encargado de ir recolectando la información. 

Pero, ¿y la aplicación Android?, fácil, la aplicación recogía información desde el servidor actuando como ‘webview’. La web referenciada también incluía la versión modificada de la librería Modernizr por lo que el código se cargaba también en los terminales

Sin duda un ataque con un alto nivel de especialización y 100% dirigido que nos hacen hablar de un concepto que cada vez suena con más fuerza los skimmers virtuales, métodos de robo colocado dentro del código que maneje información de pago para el robo de la misma.