Los autores de malware son conocidos por sus intentos engañosos de mantenerse un paso por delante de los defensores. A medida que sus esquemas se exponen, siempre necesitan volver a su bolsa de trucos para sacar uno nuevo.
Cuando se trata de skimmers de tarjetas de crédito en línea, ya hemos visto una serie de técnicas de evasión, algunas bastante simples y otras más elaboradas. El objetivo sigue siendo engañar a los compradores en línea mientras permanecen bajo el radar de los administradores del sitio web y los escáneres de seguridad.
En esta última instancia, observamos un viejo truco del lado del servidor combinado con el uso inteligente de un archivo de icono para ocultar un skimmer web. Los actores de amenazas registraron un nuevo sitio web que pretende ofrecer miles de imágenes e íconos para descargar, pero que en realidad tiene un solo propósito: actuar como fachada para una operación de robo de tarjetas de crédito.
El favicon sospechoso
Este último caso comenzó con un archivo de imagen que se muestra en la pestaña del navegador que se usa a menudo para marcar o identificar un sitio web, también conocido como favicon .
Al revisar nuestros registros de rastreadores, notamos solicitudes a un dominio llamado myicons [.] Net que aloja varios íconos y, en particular, favicons. Varios sitios de comercio electrónico estaban cargando un favicon Magento de este dominio.
Esto en sí mismo no es particularmente sospechoso. Sin embargo, notamos que el dominio myicons [.] Net se registró hace unos días y estaba alojado en un servidor (83.166.244 [.] 76) que anteriormente se identificaba como malicioso. En una publicación de blog , la compañía de seguridad web Sucuri reveló cómo este host formaba parte de una campaña de descremado web utilizando nombres de dominio basados en el tiempo.
Además, descubrimos que la persona que registró myicons [.] Net robó todo el contenido de un sitio legítimo alojado en iconarchive.com; y lo hicieron de la manera más simple: cargándolo como un iframe:
<iframe src = "http://www.iconarchive.com/" width = "100%" height = "1015px" frameborder = "0" align = "left">
Sospechamos que el archivo favicon.png era malicioso y tal vez usaba estenografía para ocultar el código JavaScript. Pero éste no era el caso. La imagen estaba formateada correctamente, sin código adicional dentro.
Respuesta condicional del lado del servidor
Para comprender mejor lo que estaba sucediendo antes de descartar esto como una alerta falsa, examinamos cómo se sirvió este archivo en el contexto de una compra en línea. Bajo y he aquí, al visitar la página de pago de un sitio web comprometido de Magento, el inocente favicon.png se convirtió en algo completamente diferente.
En lugar de servir una imagen PNG, el servidor malicioso devuelve un código JavaScript que consiste en un formulario de pago con tarjeta de crédito. Este contenido se carga dinámicamente en el DOM para anular la opción de pago de PayPal con su propio menú desplegable para MasterCard, Visa, Discover y American Express.
Skimmer “hormiga y cucaracha”
Este skimmer puede ser familiar para algunos bajo el apodo de ” hormiga y cucaracha “. Es algo único en el sentido de que está personalizado para formularios de pago en inglés y portugués.
Además del código JavaScript, contiene HTML que se inyectará en la página de pago de las tiendas comprometidas. La idea es mezclarse para que los compradores no noten nada sospechoso.
Si bien los skimmers web se centran principalmente en los datos de la tarjeta de crédito, generalmente también recopilan información personal adicional sobre las víctimas, incluido el nombre, la dirección, el número de teléfono y el correo electrónico.
Los datos se codifican y luego se envían a los delincuentes. Para los skimmers del lado del cliente, el dominio de exfiltración podría ser otro sitio pirateado o un sitio malicioso registrado estrictamente para este propósito.
Aquí el dominio de exfiltración es psas [.] Pw y reside en la infraestructura criminal conocida en la dirección IP 83.166.242 [.] 105. En marzo, describimos una campaña que abusaba del script Rocket Loader de Cloudflare, que creemos está vinculado al mismo grupo de amenazas.
Una de las muchas campañas de skimmer web
Dada la fecha de registro del dominio de los íconos señuelo, este esquema particular tiene aproximadamente una semana de antigüedad, pero es parte de un mayor número de ataques de descremado en curso.
Indicadores de compromiso
Skimmer URL, dominio, IP y SHA256
myicons [.] net / d / favicon.png myicons [.] net 83.166.244 [.] 76 825886fc00bef43b3b7552338617697c4e0bab666812c333afdce36536be3b8e
Dominio de exfiltración e IP
psas [.] pw 83.166.242 [.] 105
¡Haz clic para puntuar esta entrada!