8 sep. 2020

Delincuentes usan Telegram para robar datos de tarjetas de pago

Según un análisis de Malwarebytes, algunos estafadores están utilizando Telegram como una forma rápida y fácil de robar datos de tarjetas de pago de sitios de comercio electrónico.

Los investigadores encontraron que los delincuentes informáticos están utilizando cadenas de codificación en Base64 junto con un bot que está barriendo la información de la tarjeta de pago. El bot incluye un código que accede a Telegram para eliminar los datos de la tarjeta de pago. Base64 permite que los datos de la tarjeta de pago se tomen sin que las herramientas de seguridad detecten el robo.

Mientras que otros ciberdelincuentes han utilizado anteriormente Telegram para distribuir malware y robar datos (Juniper Threats Labs mostró esta capacidad en septiembre de 2019), recientemente han intentado robar datos de tarjetas de pago de sitios de comercio electrónico utilizando Telegram.

"Este mecanismo de exfiltración de datos es eficiente y no requiere que mantengan la infraestructura que los defensores podrían derribar o bloquear", dice el informe. "Incluso pueden recibir una notificación en tiempo real para cada nueva víctima, ayudándoles a monetizar rápidamente las tarjetas robadas en los mercados clandestinos".

Segura señala en el informe que el investigador de seguridad "AffableKraut" se dio cuenta por primera vez del uso de Telegram para escanear los datos de las tarjetas de pago en agosto y lo publicó en Twitter.

JavaScript malicioso

El informe señala que el robo de la información de la tarjeta de pago generalmente comienza cuando los delincuentes colocan código JavaScript malicioso en los sitios de comercio electrónico para recopilar la información de pago de los clientes.

A partir de ahí, el código utiliza una función de depuración para evitar la detección y comienza a copiar los datos de la tarjeta de pago de las víctimas, como la información de facturación y pago, el número de tarjeta, la fecha de vencimiento y el código CVV de los diversos campos de pago, según el informe.

En la mayoría de los ataques de skimming, que no aprovechan Telegram, los datos de la tarjeta de pago se almacenan dentro de un dominio o archivo controlado por los atacantes y luego se exfiltran mediante una infraestructura de comando y control que se comunica con el código JavaScript. Pero los ataques que aprovechan Telegram utilizan el cifrado junto con un canal de Telegram para crear un proceso de exfiltración más rápido y eficiente.

"La exfiltración se activa solo si la URL actual del navegador contiene una palabra clave indicativa de un sitio de compras y cuando el usuario valida la compra". Cuando un comprador ingresa información de pago en un sitio de comercio electrónico, esa información se transfiere a un procesador de pagos, como es habitual, pero también se envía una copia a los estafadores.

Al usar Telegram, los delincuentes no tienen que tomarse el tiempo para configurar una infraestructura de comando y control y pueden recopilar rápidamente los datos de la tarjeta de pago y usarlos para comprar bienes o venderlos en foros clandestinos. Este método también ayuda a los estafadores a evitar la detección.

Bloquear este tipo de ataque es difícil. Si bien las empresas de comercio electrónico pueden cortar el acceso a los canales de Telegram a nivel de red, los ciberdelincuentes pueden cambiar a otro tipo de plataforma segura para ayudar con el skimming.

Actividad de Magecart

Los ataques de skimming de Javascript generalmente se asocian con Magecart, una descripción general para grupos separados de ciberdelincuentes que usan skimmers de JavaScript para robar datos de pagos y tarjetas de crédito de clientes de sitios de comercio electrónico.

En otro informe publicado esta semana, la firma de seguridad Group-IB describió las actividades de un grupo de piratería criminal llamado UltraRank, que ha estado robando datos de tarjetas de crédito durante casi cinco años y luego vendiendo esos datos en su propio mercado de tarjetas. Los analistas descubrieron que muchos de los ataques atribuidos a varios grupos de Magecart a lo largo de los años fueron en realidad obra de este grupo.

Fuente: BankSecurity

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!