Ventas: (+57)315-5068017 (+57)319-3643272
info@doblefactor.com

El skimmer de la tarjeta de crédito se disfraza de favicon

Los autores de malware son conocidos por sus intentos engañosos de mantenerse un paso por delante de los defensores. A medida que sus esquemas se exponen, siempre necesitan volver a su bolsa de trucos para sacar uno nuevo.

Cuando se trata de skimmers de tarjetas de crédito en línea, ya hemos visto una serie de técnicas de evasión, algunas bastante simples y otras más elaboradas. El objetivo sigue siendo engañar a los compradores en línea mientras permanecen bajo el radar de los administradores del sitio web y los escáneres de seguridad.

En esta última instancia, observamos un viejo truco del lado del servidor combinado con el uso inteligente de un archivo de icono para ocultar un skimmer web. Los actores de amenazas registraron un nuevo sitio web que pretende ofrecer miles de imágenes e íconos para descargar, pero que en realidad tiene un solo propósito: actuar como fachada para una operación de robo de tarjetas de crédito.

El favicon sospechoso

Este último caso comenzó con un archivo de imagen que se muestra en la pestaña del navegador que se usa a menudo para marcar o identificar un sitio web, también conocido como favicon .

Figura 1: S ome favicons de los sitios web populares

Al revisar nuestros registros de rastreadores, notamos solicitudes a un dominio llamado myicons [.] Net que aloja varios íconos y, en particular, favicons. Varios sitios de comercio electrónico estaban cargando un favicon Magento de este dominio.

Figura 2: Un favicon.png para el Magento CMS

Esto en sí mismo no es particularmente sospechoso. Sin embargo, notamos que el dominio myicons [.] Net se registró hace unos días y estaba alojado en un servidor (83.166.244 [.] 76) que anteriormente se identificaba como malicioso. En una publicación de blog , la compañía de seguridad web Sucuri reveló cómo este host formaba parte de una campaña de descremado web utilizando nombres de dominio basados ​​en el tiempo.

Además, descubrimos que la persona que registró myicons [.] Net robó todo el contenido de un sitio legítimo alojado en iconarchive.com; y lo hicieron de la manera más simple: cargándolo como un iframe:

<iframe src = "http://www.iconarchive.com/" width = "100%"
height = "1015px" frameborder = "0" align = "left">  
Figura 3: sitio de señuelo con el sitio original

Sospechamos que el archivo favicon.png era malicioso y tal vez usaba estenografía para ocultar el código JavaScript. Pero éste no era el caso. La imagen estaba formateada correctamente, sin código adicional dentro.

Figura 4: el archivo de imagen sospechoso resulta estar limpio

Respuesta condicional del lado del servidor

Para comprender mejor lo que estaba sucediendo antes de descartar esto como una alerta falsa, examinamos cómo se sirvió este archivo en el contexto de una compra en línea. Bajo y he aquí, al visitar la página de pago de un sitio web comprometido de Magento, el inocente favicon.png se convirtió en algo completamente diferente.

Figura 5: La misma solicitud web con un referente que incluye la palabra clave ‘pagar’

En lugar de servir una imagen PNG, el servidor malicioso devuelve un código JavaScript que consiste en un formulario de pago con tarjeta de crédito. Este contenido se carga dinámicamente en el DOM para anular la opción de pago de PayPal con su propio menú desplegable para MasterCard, Visa, Discover y American Express.

Figura 6: El contenido malicioso secuestra el formulario de pago predeterminado

Skimmer “hormiga y cucaracha”

Este skimmer puede ser familiar para algunos bajo el apodo de ” hormiga y cucaracha “. Es algo único en el sentido de que está personalizado para formularios de pago en inglés y portugués.

Además del código JavaScript, contiene HTML que se inyectará en la página de pago de las tiendas comprometidas. La idea es mezclarse para que los compradores no noten nada sospechoso.

Figura 7: formulario HTML no autorizado insertado en la página de pago

Si bien los skimmers web se centran principalmente en los datos de la tarjeta de crédito, generalmente también recopilan información personal adicional sobre las víctimas, incluido el nombre, la dirección, el número de teléfono y el correo electrónico.

Figura 8: Campos de datos recopilados por el skimmer

Los datos se codifican y luego se envían a los delincuentes. Para los skimmers del lado del cliente, el dominio de exfiltración podría ser otro sitio pirateado o un sitio malicioso registrado estrictamente para este propósito.

Figura 9: Código de exfiltración que envía datos a los delincuentes

Aquí el dominio de exfiltración es psas [.] Pw y reside en la infraestructura criminal conocida en la dirección IP 83.166.242 [.] 105. En marzo, describimos una campaña que abusaba del script Rocket Loader de Cloudflare, que creemos está vinculado al mismo grupo de amenazas.

Una de las muchas campañas de skimmer web

Dada la fecha de registro del dominio de los íconos señuelo, este esquema particular tiene aproximadamente una semana de antigüedad, pero es parte de un mayor número de ataques de descremado en curso.

 

Indicadores de compromiso

Skimmer URL, dominio, IP y SHA256

myicons [.] net / d / favicon.png
myicons [.] net
83.166.244 [.] 76
825886fc00bef43b3b7552338617697c4e0bab666812c333afdce36536be3b8e

Dominio de exfiltración e IP

psas [.] pw
83.166.242 [.] 105
¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)

compartir en ....
Avatar

Acerca de Brian Alexander Diaz

Brian Alexander Diaz Investigador en temas de seguridad y Devops Mi nombre es Brian Alexander Diaz. El objetivo de este blog es promover la cultura y mentalidad en seguridad por todo el Internet y que la gente aprenda a facilitar su vida y crear  sistemas mas seguros .

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *