Como defensores, procuramos qualquer tipo de artefatos e infraestrutura maliciosa que possamos identificar para proteger nossos usuários e alertar os comerciantes afetados. Esses artefatos maliciosos podem variar de armazenamentos comprometidos a JavaScript, domínios e endereços IP maliciosos usados para hospedar um skimmer e exfiltrar dados.
Um desses artefatos é o chamado “portão”, que normalmente é um domínio ou endereço IP onde dados roubados de clientes são enviados e coletados por cibercriminosos. Normalmente, vemos os agentes de ameaças criarem sua própria infraestrutura de portão ou usarem recursos comprometidos.
No entanto, existem variações que envolvem o abuso de programas e serviços legítimos, misturando-se assim com o tráfego normal. Neste blog, damos uma olhada no mais recente truque de skimming na web, que consiste no envio de dados de cartão de crédito roubados por meio da popular plataforma de mensagens instantâneas Telegram.
Estamos vendo um grande número de sites de comércio eletrônico serem atacados por meio de uma vulnerabilidade comum ou de credenciais roubadas. Os compradores inconscientes podem visitar um comerciante que foi comprometido com um skimmer da web e fazer uma compra enquanto, sem saber, entregam seus dados de cartão de crédito a criminosos.
Os skimmers inserem-se perfeitamente na experiência de compra e apenas aqueles com um olhar aguçado para os detalhes ou que estão armados com as ferramentas de rede adequadas podem perceber que algo não está certo.
O skimmer se tornará ativo na página de pagamento e secretamente exfiltrará as informações pessoais e bancárias inseridas pelo cliente. Em termos simples, coisas como nome, endereço, número do cartão de crédito, validade e CVV vazarão por meio de uma mensagem instantânea enviada a um canal privado do Telegram.
Telegram é um serviço popular e legítimo de mensagens instantâneas que fornece criptografia de ponta a ponta. Vários cibercriminosos abusam dele para suas comunicações diárias, mas também para tarefas automatizadas encontradas em malware.
Os invasores já usaram o Telegram para exfiltrar dados antes, por exemplo, por meio de cavalos de Tróia tradicionais, como o ladrão de Masad . No entanto, o pesquisador de segurança @AffableKraut compartilhou a primeira instância documentada publicamente de um skimmer de cartão de crédito usado no Telegram em um tópico do Twitter .
O código do skimmer mantém a tradição no sentido de que verifica os depuradores da web usuais para evitar que sejam analisados. Também procura campos de interesse, como cobrança, pagamento, número do cartão de crédito, vencimento e CVV.
A novidade é a presença do código do Telegram para exfiltrar os dados roubados. O autor do skimmer codificou o ID do bot e o canal, bem como a solicitação da API do Telegram com codificação Base64 simples para mantê-lo longe de olhares indiscretos.
A exfiltração é acionada apenas se o URL atual do navegador contiver uma palavra-chave indicativa de um site de compras e quando o usuário valida a compra. Nesse ponto, o navegador enviará os detalhes do pagamento ao processador de pagamento legítimo e aos cibercriminosos.
A troca de dados fraudulenta é conduzida via API do Telegram, que publica os detalhes do pagamento em um canal de chat. Esses dados foram criptografados anteriormente para tornar a identificação mais difícil.
Para os agentes de ameaças, esse mecanismo de exfiltração de dados é eficiente e não exige que eles mantenham a infraestrutura que pode ser desativada ou bloqueada pelos defensores. Eles podem até receber uma notificação em tempo real para cada nova vítima, ajudando-os a monetizar rapidamente os cartões roubados em mercados clandestinos.
A defesa contra essa variante de ataque de skimming é um pouco mais complicada, pois ela depende de um serviço de comunicação legítimo. Obviamente, é possível bloquear todas as conexões com o Telegram no nível da rede, mas os invasores podem facilmente mudar para outro provedor ou plataforma (como fizeram antes ) e ainda assim se safar.
O Malwarebytes Browser Guard identificará e bloqueará esse ataque de skimming específico sem desativar ou interferir no uso do Telegram ou de sua API. Até agora, identificamos apenas algumas lojas online que foram comprometidas com esta variante, mas provavelmente existem várias outras.
Fonte: https://blog.malwarebytes.com/web-threats/2020/09/web-skimmer-steals-credit-card-data-via-telegram
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…
Hackers estão explorando o diretório mu-plugins do WordPress para injetar códigos maliciosos que não aparecem…
O Google implementou uma nova funcionalidade de "Detecção de Golpes" com inteligência artificial no aplicativo…
O grupo APT28, ligado à Rússia, está utilizando técnicas avançadas de ofuscação em seus ataques…
