Un grupo bajo el paraguas de Magecart, conocido como Fullz House, ha cambiado su enfoque de vender únicamente 'Fullz' (paquetes completos de información) a ataques de robo de tarjetas que mezclan MiTM y ataques de phishing a sitios objetivo utilizando procesadores de pago externos.
Fullz House no es un jugador nuevo en la escena cibercriminal, según investigadores de la firma de ciberseguridad RiskIQ. El grupo de amenaza ha estado operando "BlueMagicStore", una tienda comercial subterránea que vende "fullz" o paquetes completos de información, incluida información de identificación personal y datos bancarios robados. Fullz House también opera otra tienda comercial llamada "CardHouse" centrada en la venta de datos de tarjetas de crédito. Sin embargo, durante agosto y septiembre de este año, los investigadores notaron una superposición en la infraestructura de ataque del grupo que ahora combina las técnicas de suplantación de identidad (phishing) y skimming web.
Los investigadores dijeron que al menos una parte de las mercancías de BlueMagicStore proviene de campañas de phishing dirigidas a clientes de diversas instituciones financieras. Si bien las páginas de phishing son relativamente típicas, son reconstrucciones, no copias directas de las páginas de los proveedores de pagos, también, las páginas son parte de un marco. Fullz House creó diferentes plantillas que imitan a todos los proveedores de pagos, con un solo back-end que las maneja todas. Aunque el grupo se dirige a múltiples dominios, generalmente prefiere PayPal.
Según RiskIQ, a diferencia de otros grupos de amenazas que operan bajo el paraguas de Magecart, Fullz House desarrolló su propio skimmer, algo raro hoy en día, ya que la mayoría de los delincuentes prefieren kits de skimmer prefabricados construidos por otros, y solo unos pocos operadores ahora mantienen su propio skimmer código.
Sin embargo, la implementación del skimmer Fullz House parece algo primitiva, con una funcionalidad de código similar a los primeros tipos de skimmers descubiertos en 2014. Los investigadores dicen que el skimmer funciona más como keylogger, esperando un cambio de entrada para ver si hay datos para robar. La información recopilada luego se envía a un "lugar de entrega" donde los delincuentes la recogen.
"A pesar de sus skimmers primitivos, Fullz House también ha innovado, aprovechando su conocimiento único sobre cibercrimen para introducir una técnica inteligente que realiza un ataque de hombre en el medio (mitm) en las transacciones de comercio electrónico", anotaron los investigadores.
El ataque funciona así: el grupo configura una página con una plantilla que imita un procesador de pago conocido. Cuando las víctimas intentan comprar algo en una tienda comprometida, el comercio electrónico los redirige a una página de pago falsa utilizada para engañar a las víctimas para finalizar el pago. Una vez que el visitante ingresa su información de pago en la página no autorizada y presiona el botón "Pagar", los datos se envían al servidor del atacante, y el usuario es redirigido a la página de un procesador de pagos legítimo donde pueden completar la compra.
“El grupo Fullz cruzó del ecosistema de phishing para traer un conjunto de habilidades completamente nuevo al juego de descremado en línea. La creación de páginas de pago externas falsas que se hacen pasar por instituciones financieras legítimas y luego redirige a las víctimas a estas páginas de phishing para completar sus datos de pago agrega un nuevo elemento al panorama de la navegación en la web. Esta nueva táctica de amenaza híbrida de descremado / phishing significa que incluso las tiendas que envían clientes a procesadores de pagos externos son vulnerables ”, advirtió el equipo de investigación.
https://www.riskiq.com/blog/labs/fullz-house/
