Las vacaciones de invierno están a la vuelta de la esquina, y también lo es el nuevo malware de skimming. Los ciberdelincuentes lanzaron recientemente campañas que distribuyen el malware Grelos, una variante común de Magecart.
Analizado por investigadores de RiskIQ, esta cepa comprende un refrito del código original descubierto por primera vez en 2015. Grelos consiste en un cargador y un skimmer que usa ofuscación base64 que oculta un skimmer de dos etapas.
El Skimmer Grelos en detalle
De hecho, el skimmer Grelos ha existido desde 2015, con su versión original asociada a Magecart Groups 1 y 2, el informe señala. Cabe señalar que algunos actores de amenazas continúan utilizando algunos de los dominios originales implementados para cargar el skimmer. Pero, ¿cómo se encontró el equipo de investigación con esta última variante??
El equipo encontró una cookie única que los conectó a una variante reciente del skimmer.. Al parecer,, el skimmer tiene una versión más nueva que utiliza un formulario de pago falso para robar datos de pago. Desafortunadamente, ya se han comprometido docenas de sitios.
“En muchos compromisos recientes de Magecart, hemos visto superposiciones cada vez mayores en la infraestructura utilizada para alojar diferentes skimmers que parecen ser implementados por grupos no relacionados que utilizan diversas técnicas y estructuras de código.” RiskIQ dice.
La infraestructura superpuesta también incluye un proveedor de alojamiento utilizado por algunos dominios de skimming.. Estos dominios cargan múltiples, skimmers no relacionados, como el skimmer Inter y varias versiones de Grelos. RiskIQ “incluso vi dominios cargando el skimmer Inter y el skimmer Grelos desde la misma dirección IP.” El patrón posiblemente signifique que varios grupos de skimming utilizan la misma infraestructura para alojar los dominios de skimming y comprar servicios de alojamiento del mismo proveedor externo..
Los compradores en línea deben tener mucho cuidado con la eliminación de malware
Los investigadores de seguridad advierten de un aumento en los ataques de skimming a medida que se acerca la temporada de compras navideñas. Este año, la compra de regalos en línea puede ser aún más peligrosa con la pandemia actual de Covid-19 y las personas encerradas en casa..
“La mejor defensa contra Magecart es mantenerse al tanto de sus tácticas y conocer el código que ejecuta su sitio web., incluido el código de terceros. Parchar inmediatamente los sistemas vulnerables puede evitar daños a sus clientes y, como hemos visto, una multa considerable,” RiskIQ concluye.
Muchos grupos de piratas informáticos inspirados en Magecart en la naturaleza
En julio 2020, Los hackers de Keeper Magecart irrumpieron con éxito en los backends de las tiendas en línea para cambiar su código fuente e insertar scripts maliciosos. Los scripts robaron los detalles de la tarjeta de pago tomados de los formularios de pago.. Más que 570 las tiendas en línea han sido pirateadas en los últimos tres años.
El grupo de pirateo de Keeper ha estado realizando descremado web, e-skimming, y ataques similares a Magecart. Los investigadores de Géminis que analizaron los ataques nombraron al grupo Keeper Magecart. El nombre de Keeper se deriva del uso repetido de un solo dominio llamado filekeeper[.]org, utilizado para inyectar JavaScript malicioso de robo de tarjetas en los sitios web de las víctimas’ Código HTML y recibir datos de tarjetas recolectadas.