Saltar al contenido
computerg

馃 Este Skimmer Magecart Ha Sido Redise帽ado Para Dispositivos M贸viles

mayo 28, 2021


Los operadores de Magecart han ajustado un popular skimmer de tarjetas de cr茅dito para apuntar solo a los usuarios m贸viles, ya que los consumidores hacen m谩s de sus compras en l铆nea desde sus tel茅fonos inteligentes que desde sus computadoras.

Seg煤n un nuevo informe de RiskIQ, el Inter Skimmer Kit es una de las soluciones de desnatado digital m谩s comunes del mundo. Varios grupos de ciberdelincuentes han estado usando el kit Inter desde finales de 2018 para robar datos de pago y esto afecta a miles de sitios y consumidores en todo el mundo.

En marzo del a帽o pasado, apareci贸 en l铆nea una nueva versi贸n editada de Inter. Sin embargo, los operadores de Magecart lo modificaron a煤n m谩s para crear MobileInter, que se enfoca solo en los usuarios m贸viles y apunta tanto a sus credenciales de inicio de sesi贸n como a sus datos de pago.

Mientras que la primera iteraci贸n de MobileInter descarg贸 las URL de exfiltraci贸n ocultas en im谩genes de los repositorios de GitHub, la nueva versi贸n contiene las URL de exfiltraci贸n en el c贸digo skimmer y utiliza WebSockets para la exfiltraci贸n de datos. MobileInter tambi茅n est谩 abusando de los dominios y servicios de rastreo de Google que imitan al gigante de las b煤squedas para disfrazarse a s铆 mismo y a su infraestructura.

MobileInter

Dado que MobileInter solo se dirige a usuarios m贸viles, el skimmer redise帽ado realiza una variedad de comprobaciones para garantizar que escanear谩 una transacci贸n realizada en un dispositivo m贸vil.

El skimmer primero realiza una verificaci贸n de expresiones regulares contra la ubicaci贸n de la ventana para determinar si est谩 en una p谩gina de pago, pero este tipo de verificaci贸n tambi茅n puede averiguar si el userAgent de un usuario est谩 configurado en uno. Navegadores m贸viles. MobileInter tambi茅n verifica las dimensiones de una ventana del navegador para ver si es un tama帽o asociado con un navegador m贸vil.

Despu茅s de estas comprobaciones, el skimmer realiza su desnatado y exfiltraci贸n de datos utilizando varias otras funciones. Algunas de estas funciones reciben nombres que podr铆an confundirse con servicios leg铆timos para evitar ser detectados. Por ejemplo, una funci贸n llamada 鈥榬umbleSpeed鈥 se usa para determinar la frecuencia con la que se intenta una exfiltraci贸n de datos, aunque se supone que se combina con el complemento jRumble para jQuery, que 鈥榬etumba鈥 elementos en una p谩gina web. Para que el usuario pueda centrarse en ellos.

RiskIQ tambi茅n ha identificado a MobileInter disfrazando sus operaciones de otra manera. Desde que la compa帽铆a comenz贸 a rastrear Magecart, ha observado que los actores de amenazas disfrazan sus dominios como servicios leg铆timos. Si bien la lista de dominios relacionados con MobileInter de RiskIQ es larga, muchos emulan a Alibaba, Amazon y jQuery.

Aunque los skimmers de tarjetas de cr茅dito aparecieron por primera vez en el mundo real en las estaciones de servicio y otros lugares donde los usuarios pasaban el dedo para pagar, r谩pidamente encontraron su camino en l铆nea y ahora se han pasado al m贸vil.


Source link