Los piratas informáticos han comprometido el sitio web del popular vendedor de productos de envases de alimentos de plástico Tupperware que implanta un skimmer de tarjeta de pago utilizado para robar los detalles de la tarjeta de pago de los clientes. El sitio web oficial tiene aproximadamente 1 millón de visitas mensuales en promedio.
El código malicioso también se descubrió en algunas versiones localizadas del sitio web oficial de Tupperware.
Según analisis, el código malicioso permaneció activo en la página de inicio de Tupperware durante al menos cinco días, los expertos descubrieron el código malicioso el 20 de marzo.
Los investigadores intentaron notificar a Tupperware sin éxito.
Según los expertos, el código malicioso en el sitio web de Tupperware funciona imitando el formulario de pago oficial de la compañía.
“Durante uno de los rastreos web, identificó un iframe de aspecto sospechoso cargado desde deskofhelp [.] Com cuando visitamos la página de pago en tupperware [.] Com. Este iframe es responsable de mostrar los campos del formulario de pago presentados a los compradores en línea «.
La inspección de la página de pago reveló la presencia de un iframe diseñado para mostrar un formulario de pago clonado que imita el formulario de pago legítimo VISA CyberSource implementado en el sitio de Tupperware.
El formulario falso recopila datos de pago ingresados por los usuarios y los envía a un servidor remoto bajo el control de los atacantes. El código malicioso roba nombre y apellido, dirección de facturación, número de teléfono, número de tarjeta de crédito, fecha de vencimiento de la tarjeta de crédito y código CVV de la tarjeta de crédito.
«Los delincuentes idearon su ataque de skimmer para que los compradores primero ingresen sus datos en el iframe falso y luego se les muestre inmediatamente un error, disfrazado como un tiempo de espera de sesión». continúa el análisis
“Esto permite que los actores de la amenaza recarguen la página con el formulario de pago legítimo. Las víctimas ingresarán su información por segunda vez, pero para entonces, el robo de datos ya ha sucedido «.
Tupperware abordó el problema, ahora el formulario de pago se está cargando desde el dominio legítimo cybersource.com. Los expertos especulan que el sitio web fue pirateado porque estaba ejecutando una versión desactualizada de Magento e-commerce CMS.
«No sabemos exactamente cómo fue pirateado Tupperware, pero un escaneo a través de SiteCheck de Sucuri muestra que pueden estar ejecutando una versión desactualizada del software Magento Enterprise».
“Como cualquier compromiso del sitio web, es importante buscar la causa raíz al inspeccionar los registros del lado del servidor y determinar si los atacantes aún tienen acceso. Muchas veces, los delincuentes abandonan las puertas traseras de PHP o simplemente pueden volver a explotar la misma vulnerabilidad para volver a entrar »
Según los expertos, se espera que los ataques al estilo Magecart aumenten en los próximos meses, los piratas informáticos intentarán monetizar el aumento significativo en el número de compras en línea debido al brote de COVID19.