Nuevas variantes de los datos de la tarjeta de crédito Grelos Skimmer Siphon - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Nuevas variantes de los datos de la tarjeta de crédito Grelos Skimmer Siphon

Hola, ¿qué tal colega?. Yo soy Eduardo Arroyo y en esta ocasión te voy a hablar sobre Nuevas variantes de los datos de la tarjeta de crédito Grelos Skimmer Siphon

Nuevas variantes de los datos de la tarjeta de crédito Grelos Skimmer Siphon

Los dominios relacionados con la nueva variante del skimmer web Grelos han comprometido hasta ahora decenas de sitios web.

Justo cuando las compras online de temporada se hacen cargo, se han identificado nuevas variantes del malware skimmer Grelos en las tiendas minoristas. Las variantes apuntan a los datos de las tarjetas de pago de los compradores minoristas Online en docenas de sitios web pirateados, advierten los investigadores.

El malware Skimmer Grelos existe desde 2015 y su versión original está asociada con los llamados Grupos 1 y 2 bajo el prolífico paraguas Magecart de ciberdelincuentes poco organizados. Sin embargo, con el tiempo, los nuevos jugadores han comenzado a apropiarse del skimmer de Grelos y a reutilizar algunos de los dominios originales utilizados para alojar el malware. Esto se ha acumulado en lo que los investigadores dicen es una superposición de infraestructura única para las variantes más nuevas del skimmer entre Grelos y Magecart.

En un nuevo análisis, los investigadores dijeron que una cookie encontrada en un sitio web comprometido condujo al descubrimiento de Grelos y, por lo tanto, pudieron encontrar enlaces entre nuevas variantes porque tenían una infraestructura coincidente y registros idénticos en el protocolo de consulta de WHOIS. y respuesta (ampliamente utilizado para consultar bases de datos).

«Recientemente, una cookie única permitió a los investigadores de RiskIQ vincular una variante reciente de este skimmer a una versión aún más nueva que usa una forma de pago falsa para robar información de pago de las víctimas», dijeron los investigadores de RiskIQ. en un análisis esta semana. «Hasta ahora, los dominios relacionados con esta cookie han comprometido a decenas de sitios».

Las nuevas variantes del skimmer aparecieron por primera vez cuando el investigador Affable Kraut documentado a través de Twitter en julio de 2020. Esta versión del skimmer presenta una etapa de carga y una etapa de skimmer, ambas codificadas en base64 cinco veces, dijeron los investigadores.

La variante Grelos descubierta por Kraut también usó WebSocket para desnatar. La API de WebSocket es una tecnología que le permite abrir una sesión de comunicación interactiva bidireccional entre un navegador web y un servidor. El uso de la conexión WebSocket para extraer datos confidenciales no es nuevo y se observó por primera vez en conexión con un skimmer Magecart Group 9 en Diciembre de 2019.

Luego, en un incidente separado, los investigadores investigaron el reciente Boom! Móvil por el grupo de amenazas Full (z) House en octubre. Durante su investigación, los investigadores notaron una cookie única, que estaba vinculada a tres dominios de skimming adicionales y diferentes dominios de víctimas.

Estos dominios de skimming, que incluían facebookapimanager[.]com y googleapimanager[.]com, contenía una variante más nueva de la variante Grelos. Los investigadores dijeron que la conexión entre la cookie y los dominios skimmer despertó su interés porque los dominios skimmer que comparten una cookie idéntica no son comunes.

«Estos cuatro dominios estaban alojados en varias IP diferentes, pero la mayoría de las veces usaban infraestructura perteneciente a ASN 45102 – Hangzhou Alibaba Advertising Co., Ltd., un proveedor de alojamiento que actualmente es popular entre varios jugadores de Magecart». dijeron los investigadores.

Este skimmer tiene una etapa de carga codificada en base64 similar a la documentada por Kraut, excepto que esta etapa de carga está solo bajo una capa de codificación, con un duplicado de la etiqueta de script codificada debajo (sin cifrar), dijeron los investigadores. .

El código de skimmer incluía una función de «traducción» con varias frases utilizadas por el formulario de pago HTML falso que crea después de comprometer un sitio web. Estas frases incluyen «Pague con tarjeta de crédito o débito»; «Verifique el nombre del titular de la tarjeta»; «No podemos procesar su pago» y otras frases.

Cuando un comprador visita un sitio web pirateado, se le presenta un formulario de pago falso que contiene estas frases. Cuando cargan la información de su tarjeta de pago, esos datos se extraen del skimmer a través de una función que exprime los datos robados, junto con site_id, sid e ip (esta función también tiene un error gramatical interesante, anotaron los investigadores, usando la palabra «enviado» en lugar de «enviado»).

Los investigadores informaron recientemente haber visto un aumento en la cantidad de sitios de comercio electrónico atacados por Magecart y grupos relacionados, combinando nuevas tácticas. Por lo general, Magecart compromete sitios web con skimmers web, a través de una vulnerabilidad en la plataforma de comercio electrónico de sitios web, obteniendo acceso a la red de la víctima a través de phishing u otros medios u otras tácticas (no está claro qué tácticas están usando los autores de amenazas para comprometer los sitios web de skimmer de Grelos).

En octubre, tuvo lugar una de las campañas de Magecart más grandes conocidas hasta la fecha, con casi 2.000 sitios de comercio electrónico pirateados en una campaña automatizada que podría vincularse a un exploit de día cero. A principios de septiembre, se vio a Magecart utilizando el servicio de mensajería segura de Telegram como mecanismo de exfiltración de datos.

Los investigadores de RiskIQ, por su parte, dijeron que esperan superposiciones en la infraestructura utilizada para albergar a varios skimmers; así como la reutilización del código skimmer, para aumentar en el futuro.

«Esta compleja superposición ilustra las aguas cada vez más fangosas para los investigadores que siguen a Magecart», advirtieron.

.

No te olvides compartir en tus redes sociales para que tus colegas lo disfruten

??? ? ? ???

Comparte

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *