Visto: 240

Nuevo skimmer web roba datos de tarjetas de crédito y los envía a delincuentes a través de Telegram

Inicio desactivadoInicio desactivadoInicio desactivadoInicio desactivadoInicio desactivado
 

El panorama del rastreo de tarjetas de crédito digitales sigue evolucionando, a menudo, toman prestadas técnicas utilizadas por otros autores de malware para evitar la detección.

Como defensores, buscamos cualquier tipo de artefacto e infraestructura maliciosa que podamos identificar para proteger a nuestros usuarios y alertar a los comerciantes afectados. Estos artefactos maliciosos pueden variar desde tiendas comprometidas hasta JavaScript, dominios y direcciones IP maliciosas que se utilizan para alojar un skimmer y exfiltrar datos.

Uno de esos artefactos es la llamada "puerta", que normalmente es un dominio o dirección IP donde los datos robados de los clientes son recolectados y enviados por los ciberdelincuentes. Por lo general, vemos que los ciberdelincuentes levantan su propia infraestructura de puerta o usan recursos comprometidos.

Sin embargo, existen variaciones que implican el abuso de programas y servicios legítimos, mezclándose así con el tráfico normal. En esta nota, echamos un vistazo al último truco de skimming web, que consiste en enviar datos de tarjetas de crédito robadas a través de la popular plataforma de mensajería instantánea Telegram.

 

Una experiencia de compra normal

Estamos viendo una gran cantidad de sitios de comercio electrónico atacados a través de una vulnerabilidad común o credenciales robadas. Los compradores inconscientes pueden visitar una pagina web que se ha visto comprometida con un skimmer web y realizan una compra mientras entregan sin saberlo los datos de su tarjeta de crédito a los delincuentes.

Los skimmers se insertan al mismo tiempo dentro de la experiencia de compra y solo aquellos con un buen ojo para los detalles o que están armados con las herramientas de red adecuadas pueden notar que algo no está bien.

 

20200918 02

Figura 1: Skimmer de tarjetas de crédito usando el bot de Telegram

 

El skimmer se activará en la página de pago y exfiltrará de forma secreta la información personal y bancaria ingresada por el cliente. En términos simples, cosas como nombre, dirección, número de tarjeta de crédito, vencimiento y CVV se filtrarán a través de un mensaje instantáneo enviado a un canal privado de Telegram.

 

Skimmer basado en Telegram

Telegram es un servicio legítimo de mensajería instantánea popular que proporciona cifrado de extremo a extremo. Varios ciberdelincuentes abusan de él para sus comunicaciones diarias, pero también para las tareas automatizadas que se encuentran en el malware.

Los atacantes han utilizado Telegram para exfiltrar datos antes, por ejemplo, a través de los caballos de Troya tradicionales, como el ladrón de Masad. Sin embargo, el investigador de seguridad @AffableKraut compartió el primer caso documentado públicamente de un skimmer de tarjetas de crédito utilizado en Telegram en un hilo de Twitter.

El código del skimmer sigue la tradición, en el sentido, de que comprueba los depuradores web habituales para evitar ser analizados. También busca campos de interés, como facturación, pago, número de tarjeta de crédito, fecha de vencimiento y CVV.

 

20200918 03

Figura 2: Primera parte del código del skimmer

 

La novedad es la presencia del código de Telegram para exfiltrar los datos robados. El autor del skimmer codificó el ID y el canal del bot, así como la solicitud de la API de Telegram con una codificación simple en Base64 para mantenerlo alejado de miradas indiscretas.

 

20200918 04

Figura 3: Código de skimming que contiene la API de Telegram

 

La exfiltración se activa solo si la URL actual del navegador contiene una palabra clave indicativa de un sitio de compras y cuando el usuario valida la compra. En este punto, el navegador enviará los detalles del pago tanto al procesador de pagos legítimo como a los ciberdelincuentes.

 

20200918 05

Figura 4: Una compra en la que se roban y exfiltran datos de tarjetas de crédito

 

El intercambio de datos fraudulentos se realiza a través de la API de Telegram, que publica los detalles del pago en un canal de chat. Esa información se cifró previamente para dificultar la identificación.

Para los ciberdelincuentes, este mecanismo de exfiltración de datos es eficiente y no les exige mantener una infraestructura que los defensores podrían derribar o bloquear. Incluso pueden recibir una notificación en tiempo real para cada nueva víctima, ayudándoles a monetizar rápidamente las tarjetas robadas en los mercados clandestinos.

 

Desafíos con la protección de la red

Defenderse contra esta variante de un ataque de skimming es un poco más complicado, ya que depende de un servicio de comunicación legítimo. Obviamente, uno podría bloquear todas las conexiones a Telegram a nivel de red, pero los atacantes podrían cambiar fácilmente a otro proveedor o plataforma (como lo han hecho antes) y aún así salirse con la suya.

Malwarebytes Browser Guard identificará y bloqueará este ataque de skimming específico sin deshabilitar o interferir con el uso de Telegram o su API. Hasta ahora solo hemos identificado un par de tiendas en línea que se han visto comprometidas con esta variante, pero es probable que haya varias más.

 

20200918 06

Figura 5: Malwarebytes bloqueando este ataque de skimming

 

Como siempre, necesitamos adaptar nuestras herramientas y metodologías para mantenernos al día con los ataques de motivación financiera dirigidos a las plataformas de comercio electrónico. Los comerciantes en línea también juegan un papel muy importante en hacer descarrilar esta empresa criminal y preservar la confianza de sus clientes. Al ser proactivos y vigilantes, los investigadores de seguridad y los proveedores de comercio electrónico pueden trabajar juntos para derrotar a los ciberdelincuentes que se interponen en el camino de los negocios legítimos.

 

Fuente de información: https://blog.malwarebytes.com/web-threats/2020/09/web-skimmer-steals-credit-card-data-via-telegram/