Nuevo skimmer web roba datos de tarjetas de crédito y los envía a ciberdelincuentes a través de Telegram

Inyectar e-skimmers en sitios web de compras mediante la explotación de una vulnerabilidad conocida o credenciales robadas para robar detalles de tarjetas de crédito es un modus operandi probado y comprobado de Magecart, un consorcio de diferentes grupos de piratas informáticos que se dirigen a los sistemas de carritos de compras en línea. Estos skimmers […]

Inyectar e-skimmers en sitios web de compras mediante la explotación de una vulnerabilidad conocida o credenciales robadas para robar detalles de tarjetas de crédito es un modus operandi probado y comprobado de Magecart, un consorcio de diferentes grupos de piratas informáticos que se dirigen a los sistemas de carritos de compras en línea.

Estos skimmers de tarjetas de crédito virtuales, también conocidos como ataques de formjacking, suelen ser código JavaScript que los operadores insertan sigilosamente en un sitio web de comercio electrónico, a menudo en páginas de pago, con la intención de capturar los detalles de la tarjeta de los clientes en tiempo real y transmitirlos a un servidor remoto controlado por un atacante.

Pero en los últimos meses, han intensificado sus esfuerzos para ocultar el código del ladrón de tarjetas dentro de los metadatos de las imágenes e incluso llevar a cabo ataques homógrafos de IDN. para plantar skimmers web ocultos en el archivo de favicon de un sitio web.

Skimmer basado en Telegram

Telegram es un servicio de mensajería instantánea popular y legítimo que proporciona cifrado de extremo a extremo. Varios ciberdelincuentes abusan de él para sus comunicaciones diarias, pero también para las tareas automatizadas que se encuentran en el malware.

Los atacantes han utilizado Telegram para exfiltrar datos antes, por ejemplo, a través de los caballos de Troya tradicionales, como el ladrón de Masad . Sin embargo, el investigador de seguridad @AffableKraut compartió la primera instancia documentada públicamente de un skimmer de tarjetas de crédito utilizado en Telegram en un hilo de Twitter .

El código del skimmer sigue la tradición en el sentido de que comprueba los depuradores web habituales para evitar ser analizados. También busca campos de interés, como facturación, pago, número de tarjeta de crédito, vencimiento y CVV.

La novedad es la presencia del código de Telegram para exfiltrar los datos robados. El autor del skimmer codificó el ID y el canal del bot, así como la solicitud de la API de Telegram con una codificación simple en Base64 para mantenerlo alejado de miradas indiscretas.

La exfiltración se activa solo si la URL actual del navegador contiene una palabra clave indicativa de un sitio de compras y cuando el usuario valida la compra. En este punto, el navegador enviará los detalles del pago tanto al procesador de pagos legítimo como a los ciberdelincuentes.

El intercambio de datos fraudulentos se realiza a través de la API de Telegram, que publica los detalles del pago en un canal de chat. Esa información se cifró previamente para dificultar la identificación.

Para los actores de amenazas, este mecanismo de exfiltración de datos es eficiente y no requiere que mantengan una infraestructura que podría ser derribada o bloqueada por los defensores. Incluso pueden recibir una notificación en tiempo real para cada nueva víctima, ayudándoles a monetizar rápidamente las tarjetas robadas en los mercados clandestinos.