Nuevo Skimmer web roba datos de tarjetas de crédito y los envía a ciberdelincuentes por medio de Telegram
AS-09-2020
Fecha: 2/Sept/2020
Resumen:
La técnica skimming para robar información de tarjetas de crédito ha evolucionado pues ha tomado prestadas técnicas usadas por autores de malware con el fin de evitar ser detectados.
Existe infraestructura o artefactos que van desde una tienda comprometida hasta JavaScript maliciosos, dominios y direcciones IP utilizados para hospedar un skimmer y robar datos.
Uno de estos artefactos es denominado "puerta", y es típicamente un dominio o dirección IP, donde los datos robados de los clientes son enviados y recogidos por los ciberdelincuentes.
Hay variaciones que implican el abuso de programas y servicios legítimos, que se mezclan con el tráfico normal. Por ejemplo el último truco consiste en enviar datos de tarjetas de crédito a través de la popular plataforma de mensajería instantánea Telegram.
Los Skimmers se insertan sin problemas dentro de la experiencia de compra y solo aquellos con un ojo agudo para los detalles o que están armados con las herramientas de red adecuadas pueden notar que algo no está bien.
Telegram es un legítimo y popular servicio de mensajería instantánea que proporciona cifrado de extremo a extremo. Un número de ciberdelincuentes abusan de las comunicaciones diarias, y de las tareas automatizadas de un malware. Defenderse de esta variante de ataque es un poco más complicado ya que se basa en un servicio de comunicación legítimo. Obviamente, uno podría bloquear todas las conexiones a Telegram a nivel de red como solución temporal, pero los atacantes podrían cambiar fácilmente a otro proveedor o plataforma (como lo han hecho antes) y así salirse con la suya.
Malwarebytes Browser Guard identificará y bloqueará el ataque skimmer específico sin deshabilitar o interferir con el uso de Telegram o su API. Hasta ahora sólo hemos identificado un par de tiendas en línea que han sido comprometidas con esta variante, pero es probable que haya varias más.
Como siempre, necesitamos adaptar nuestras herramientas y metodologías para mantenernos al día de los ataques que tienen motivación financiera dirigidos a plataformas de comercio electrónico. Los comerciantes en línea juegan un papel importante en la desactivación de esta empresa criminal y la preservación de la confianza de su base de clientes. Al ser proactivo y vigilante, los investigadores de seguridad deben buscar el mecanismo de eliminar la necesidad de infraestructura de exfitltración de datos la cual podría ser bloqueada por soluciones de seguridad. El trabajo conjunto con proveedores de comercio electrónico es necesario para derrotar a los ciberdelincuentes que se interponen en el camino de los negocios legítimos.
Referencias:
https://blog.malwarebytes.com/web-threats/2020/09/web-skimmer-steals-credit-card-data-via-telegram/