Clicky

Nuevo ladrón de tarjetas de crédito basado en la web utiliza Telegram Messenger para filtrar datos

Categoría: Seguridad
Visitas: 1575
Telegram

El intercambio de datos fraudulentos se realiza a través de la API de Telegram

Los grupos de ciberdelincuentes evolucionan constantemente para encontrar nuevas formas de robar información financiera, y el último truco de su arsenal es aprovechar para su beneficio la aplicación de mensajería Telegram.

En lo que es una nueva táctica adoptada por los grupos de Magecart, el servicio de mensajería encriptada se está utilizando para enviar a los atacantes detalles de pago robados de sitios web comprometidos.

"Para los actores de amenazas, este mecanismo de exfiltración de datos es eficiente y no requiere que mantengan una infraestructura que podría ser derribada o bloqueada por los defensores", dijo Jérôme Segura de Malwarebytes en un análisis del lunes. "Incluso pueden recibir una notificación en tiempo real para cada nueva víctima, ayudándoles a monetizar rápidamente las tarjetas robadas en los mercados clandestinos".

El TTP fue documentado públicamente por primera vez por el investigador de seguridad @AffableKraut en un hilo de Twitter la semana pasada utilizando datos de la firma holandesa de ciberseguridad Sansec.

proceso del robo de tarjeta bancaria

Inyectar e-skimmers en sitios web de compras mediante la explotación de una vulnerabilidad conocida o credenciales robadas para robar datos de tarjetas de crédito es un modus operandi probado y comprobado de Magecart, un consorcio de diferentes grupos de piratas informáticos que se dirigen a los sistemas de carritos de compras en línea.

Estos skimmers de tarjetas de crédito virtuales, también conocidos como ataques de formjacking, suelen ser código JavaScript que los operadores insertan sigilosamente en un sitio web de comercio electrónico, a menudo en páginas de pago, con la intención de capturar los detalles de las tarjetas de los clientes en tiempo real y transmitirlos a un servidor remoto controlado por un atacante.

Pero en los últimos meses, han intensificado sus esfuerzos para ocultar el código del ladrón de tarjetas dentro de los metadatos de la imagen e incluso llevar a cabo ataques homógrafos de IDN para plantar skimmers web ocultos en el archivo de favicon de un sitio web.

código malware

Lo que es novedoso esta vez es el método para extraer los datos (como el nombre, la dirección, el número de la tarjeta de crédito, el vencimiento y el CVV) en sí, que se realiza a través de un mensaje instantáneo enviado a un canal privado de Telegram usando un ID de bot codificado en el código skimmer.

"El intercambio de datos fraudulentos se realiza a través de la API de Telegram, que publica los detalles del pago en un canal de chat", dijo Segura. "Esa información estaba previamente encriptada para dificultar la identificación".

La ventaja de usar Telegram es que los actores de amenazas ya no tienen que molestarse en configurar una infraestructura de comando y control separada para transmitir la información recopilada ni arriesgarse a enfrentar la posibilidad de que esos dominios sean eliminados o bloqueados por servicios anti-malware.

"Defenderse contra esta variante de un ataque de skimming es un poco más complicado ya que se basa en un servicio de comunicación legítimo", dijo Segura. "Obviamente, uno podría bloquear todas las conexiones a Telegram a nivel de red, pero los atacantes podrían cambiar fácilmente a otro proveedor o plataforma (como lo han hecho antes) y aún así salirse con la suya".