Los criminales cibernéticos parecen estar trabajando en una nueva manera de robar datos de tarjetas de pago. Según los investigadores de seguridad de IBM, un grupo de hackers está desarrollando scripts maliciosos para usar en contra de grado comercial Capa 7 (L7) enrutadores.
Esto sería totalmente cambiar los métodos vistos en ataques de skimming como Magecart, ya que hasta ahora el código malicioso utilizado por los piratas informáticos se entregó a nivel de sitio web a través JavaScript o archivos PHP. Cambio de la superficie de ataque puede ser considerado como una evolución en ataques impulsados por Magecart.
Ante todo, vamos a ver qué es exactamente una capa 7 enrutador es. Es un tipo de comercial, enrutador de alta resistencia típica de las grandes redes, los gobiernos incluyeron. La diferencia de cualquier otro router es que una capa 7 dispositivo es capaz de manipular el tráfico a nivel de aplicación, también conocido como séptimo nivel, del modelo de red OSI. En otras palabras, el router puede responder a tráfico no sólo en función de la dirección IP, sino también las cookies, nombres de dominio, tipos de navegador, etc.
Así, ¿qué hicieron los investigadores de IBM descubren en su análisis?
El equipo ha identificado la actividad maliciosa que atribuyeron a la Magecart 5 grupo criminal cibernético. La investigación muestra que los piratas informáticos Magecart “probablemente probar código malicioso diseñado para la inyección en archivos JavaScript benignos cargados por la capa de calidad comercial 7 enrutadores, routersthat se usa típicamente en los aeropuertos, casinos, hoteles y complejos”. La posibilidad de un ataque analizada revela que el ataque contra este tipo de routers puede permitir la inyección de anuncios maliciosos, así como el acceso a otras partes de la red comprometida.
¿Cómo sería un ataque contra los routers L7 suceder?
Estos ataques se basan en la idea de que los atacantes podrían aprovechar los routers L7 y abusan de sus características de manipulación de tráfico para inyectar scripts maliciosos en las sesiones activas del navegador de los usuarios. De hecho, IBM dice que el grupo Magecart recientemente inyecta código malicioso en un módulo de control deslizante móvil de código abierto:
MG5 utiliza normalmente JavaScriptandhas probable que inyecta su código en un JSlibrary sirvió para desarrolladores de aplicaciones móviles. Ese código fuente abierto se proporciona como un país libre, MIT licencia destinadaa herramienta proporcionan características deslizar en los dispositivos móviles. Mediante la infección de ese código en su origen, MG5 puede infectar y comprometer todas las aplicaciones que incorporan ese módulo en sus codeand roban datos de los usuarios que finalmente descargar las aplicaciones trampas explosivas.
Por otra parte, los vales los investigadores se apoderaron de que parecía ser creada específicamente para extraer datos de su tarjeta de pago de tiendas en línea, y cargar la información cosechada a un servidor web remoto. Es curioso observar que los guiones fueron descubiertos porque los atacantes cargar los archivos en VirusTotal, lo que tal vez se hizo por razones de prueba para ver si el código sería detectado por antivirus.
IBM descubrió 17 este tipo de scripts, y los agrupados en 5 secciones de acuerdo a su propósito.
Los investigadores observaron en reglas YARA
Los investigadores observaron en reglas YARA (una herramienta que permite un enfoque basado en reglas para crear descripciones de familias de malware basado en texto o patrones binarios) y la COI (Indicador de compromiso) asociado con el grupo Magecart 5 actividad. Una alerta de VirusTotal de una de las reglas Yara analizados inicialmente identificados dos muestras de archivos un-ofuscado que eran muy similares a las muestras compartidos en los análisis anteriores de la actividad Magecart.
Los expertos notaron que estas dos muestras, que compartían una convención de nomenclatura común, fueron identificados como código JavaScript desnatado. La convención de nomenclatura de archivos recurrentes, donde el “test4” cadena repite, También vinieron de la misma miembro de la carga y ubicación de origen en Murino, Rusia, el informe dice.
¿Qué pueden hacer los usuarios para evitar estos ataques?
Desafortunadamente, No hay mucho que un usuario puede hacer para eludir un ataque al nivel de router. Lo único cierto es evitar las compras en tiendas en línea sospechosas o redes públicas, como los de los hoteles, comerciales, y aeropuertos. No obstante, compras desde el hogar también plantea riesgos.
Todavía hay esperanza, como investigadores de seguridad han estado recomendando algo que se llama una tarjeta virtual. Este enfoque significa que el usuario recibe un número de tarjeta de un solo pago utilizado para una sola transacción.
¿Qué es una tarjeta virtual? Se trata de una tarjeta de crédito prepagada, que le permite a las compras en línea libremente. La tarjeta virtual sólo presenta un número y no tiene un soporte físico. Con esta tarjeta los usuarios pueden confiar en la seguridad y protección de sus pagos en línea.
Esto significa que incluso si el número de la tarjeta se utiliza en un sitio web peligroso, el número de tarjeta es inútil una vez que se complete la transacción. La desventaja de la tarjeta virtual es que todavía no está ampliamente disponible para los usuarios en todo el mundo, y puede que no sea fácil de conseguir uno.
El cambio en las tácticas de los piratas informáticos Magecart en sus operaciones de skimming no es tan sorprendente, como los ataques a nivel de router no son invisibles. routers inseguros han sido el blanco de muchos ataques, tales como phishing, cryptomining, y descargas de malware.
En breve, seguridad del router no debe pasarse por alto. Para mantener la seguridad del router, usted debe comprobar si el router tiene una llave o no. Si no ha configurado una tecla para el router, a continuación, puede hacerlo a través de la pantalla de la configuración de seguridad inalámbrica que está presente en el router. Hay otros consejos para la seguridad del router que usted debe considerar la aplicación de.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: