El nuevo malware de compras Online se esconde en los botones de las redes sociales - Calendae | Informática, Electrónica, CMS, Ciberseguridad

El nuevo malware de compras Online se esconde en los botones de las redes sociales

Hola y mil gracias por leerme. Te escribe Eduardo Arroyo y en el día de hoy te voy a contar sobre El nuevo malware de compras Online se esconde en los botones de las redes sociales

El nuevo malware de compras Online se esconde en los botones de las redes sociales

El skimmer roba información de tarjetas de crédito, utilizando esteganografía para esconderse a plena vista en imágenes aparentemente benignas.

El malware de robo de tarjetas de pago que se esconde dentro de los botones de las redes sociales está circulando, comprometiendo las tiendas Online a medida que comienza la temporada de compras navideñas.

Según los investigadores de Sansec, el skimmer se esconde en botones de redes sociales falsos, que pretenden permitir compartir en Facebook, Twitter e Instagram. Los atacantes cibernéticos obtienen acceso al código del sitio web y luego colocan botones falsos en las páginas de pago y comercio electrónico.

En cuanto al vector de infección inicial, «Encontramos varias causas raíz (interceptación de contraseñas, vulnerabilidades sin parche, etc.), por lo que sospechamos que los atacantes están recolectando víctimas de diferentes fuentes», dijo Willem de Groot a Threatpost. , fundador de Sansec.

Una vez colocado en la página, el malware se comporta como el popular grupo de skimmer Magecart, con el código que es escaneado y ejecutado por la PC del comprador para recolectar tarjetas de pago y cualquier otra información ingresada en los campos Online de un sitio. adicional.

Los botones impostores se asemejan a los botones legítimos para compartir en redes sociales que se encuentran en innumerables sitios web y es poco probable que causen preocupación a los visitantes del sitio web, según Sansec. Quizás lo más interesante es que los operadores de malware también se han esforzado por hacer que el código del botón sea lo más normal e inofensivo posible, para evitar ser marcado por las soluciones de seguridad.

«Aunque los skimmers han agregado su carga útil maliciosa a archivos benignos como imágenes en el pasado, esta es la primera vez que se crea un código malicioso como una imagen perfectamente válida», según Sansec. publicación reciente. «La carga útil maliciosa toma la forma de un elemento html, usando el elemento como contenedor para la carga útil. La carga útil en sí está oculta mediante una sintaxis que recuerda mucho al uso correcto del elemento. . «

Para completar la ilusión de que la imagen es benigna, las cargas útiles maliciosas reciben el nombre de empresas legítimas. Los investigadores encontraron que se utilizan al menos seis nombres principales para cargas útiles para dar legitimidad: facebook_full; google_full; instagram_full; pinterest_full; twitter_full; y youtube_full.

El resultado de todo esto es que los escáneres de seguridad ya no pueden encontrar malware simplemente probando una sintaxis válida.

«Debido a que se esconde en archivos aparentemente legítimos, evita con éxito los monitores de malware y los firewalls corporativos. Es el siguiente paso del adversario para permanecer fuera del radar y con éxito», dijo De Groot a Threatpost.

Agregando un elemento adicional de sigilo, el malware consta de dos partes: el código de carga útil en sí y un decodificador, que lee la carga útil y la ejecuta. Básicamente, el decodificador no tiene que inyectarse en la misma ubicación que la carga útil.

«Los escáneres de vulnerabilidades no podrán juntar las dos piezas del rompecabezas y perderán este tipo de ataque», dijo a Threatpost Ameet Naik, evangelista de seguridad de PerimeterX. “Estos ataques tampoco dejan ninguna firma en el lado del servidor del sitio web, donde se encuentran todas las herramientas de monitoreo de seguridad. Por lo tanto, incluso los administradores del sitio web generalmente no tienen indicios de que esto haya sucedido. «

No se requiere interacción para activar el desnatado.

«En el caso de este ataque en particular, los botones simplemente se usan para entregar la carga útil encriptada», agregó Naik. “El usuario no necesita hacer clic en los botones para activar el ataque. El «anillo decodificador» es otro JavaScript de apariencia inocente inyectado en el sitio web que convierte la carga útil codificada en código ejecutable malicioso «.

Chloé Messdaghi, vicepresidenta de estrategia de Point3 Security, señaló que incluso los propietarios de sitios web pueden pasar por alto elementos deshonestos y no darse cuenta de que los botones de redes sociales que antes no existían aparecen de repente en una página.

«Estos tipos de ataques seguirán teniendo éxito porque incluso las principales marcas Online utilizan códigos y complementos desarrollados por terceros, cuartos o incluso quinta. [organizations], por lo que no hay una propiedad centralizada y una responsabilidad por lo que es auténtico y lo que no «, dijo por correo electrónico.

Añadió: «Hasta que todos los minoristas, desde el más grande hasta el más pequeño, se den cuenta de que sus sitios web de transacciones son ‘sitios Franken’ compuestos por elementos de terceros, y no se vuelvan escrupulosos en monitorear de manera precisa y continua la propios sitios, estos ataques solo serán más frecuentes y exitosos «.

Sansec ha encontrado 37 tiendas infectadas con el malware hasta la fecha, dijo De Groot a Threatpost, pero podrían estar en el horizonte peores campañas.

«Un atacante obviamente puede ocultar cualquier carga útil con esta técnica», según el análisis.

Los actores detrás del malware han sembrado paciencia en su ciclo de desarrollo. En junio, Sansec detectó malware similar que utilizaba la misma técnica, pero la campaña parecía ser una prueba.

«Este malware no era tan sofisticado y solo se detectó en nueve sitios en un solo día», se lee en la publicación. «De esos nueve sitios infectados, solo uno contenía malware en funcionamiento. Los ocho sitios restantes carecían de un componente, lo que hacía que el malware fuera inútil. Se plantea la cuestión de si las inyecciones de junio podrían haber sido el creador que ejecutó una prueba para ver qué tan bien iría su nueva creación «.

La segunda versión del malware se encontró por primera vez en sitios activos a mediados de septiembre.

El monitoreo activo del script del lado del cliente es una forma de detectar un problema sigiloso como este, dijeron los investigadores.

«El objetivo aquí es doble», dijo Naik. «Primero, los atacantes quieren que los elementos visibles en la página parezcan inofensivos para que los consumidores no sospechen nada. En segundo lugar, quieren que el código de estos botones también parezca inofensivo, para que los escáneres de seguridad no lo informen. como una amenaza. Sin embargo, las soluciones de seguridad de aplicaciones del lado del cliente en tiempo de ejecución que monitorean activamente los scripts que se ejecutan en los navegadores de los compradores detectarán cambios de página e informarán cualquier comunicación sospechosa con dominios externos «.

Mientras tanto, según de Groot, los proveedores deberán agregar funcionalidad a sus productos.

“En el futuro, sospechamos que la mayoría de los proveedores de seguridad se asegurarán de que sus productos sean capaces de analizar SVG”, dijo.

.

Recuerda compartir en una historia de tu Instagram para que tus colegas lo lean

??? ? ? ???

Comparte