Visa ha lanzado una alerta de seguridad con respecto a un nuevo e-skimmer avanzado denominado "Baka" que implementa nuevas funciones para evadir la detección y puede eliminarse una vez que se han extraído los datos de la tarjeta de pago.
El nuevo malware fue descubierto por investigadores con la iniciativa Payment Fraud Disruption (PFD) de Visa en febrero de 2020 mientras analizaban un servidor de comando y control (C2) que se observó anteriormente alojando la variante de skimmer ImageID. Aunque el skimmer en sí es básico y contiene características comunes para muchos kits de skimming de comercio electrónico, como la exfiltración de datos mediante solicitudes de imágenes y campos de formulario de destino configurables, Baka tiene algunas capacidades avanzadas que sugieren que fue desarrollado por un autor de malware experto.
“Los componentes más atractivos de este kit son el cargador único y el método de ofuscación. El skimmer se carga dinámicamente para evitar los escáneres de malware estáticos y utiliza parámetros de cifrado únicos para cada víctima para ofuscar el código malicioso. PFD evalúa que esta variante de skimmer evita la detección y el análisis al eliminarse de la memoria cuando detecta la posibilidad de un análisis dinámico con las herramientas del desarrollador o cuando los datos se han exfiltrado con éxito ”, decía la advertencia.
Los investigadores de PFD encontraron el skimmer Baka en varios sitios web de comerciantes de todo el mundo que utilizan la capacidad eTD de Visa.
El cargador Baka funciona agregando dinámicamente una etiqueta de script a la página actual. Esta etiqueta de secuencia de comandos, a su vez, carga un archivo JavaScript remoto desde la URL, que se almacena cifrado en la secuencia de comandos del cargador. El atacante puede cambiar la URL de cada víctima, señala Visa.
Cuando un usuario visita la página de pago del comerciante, el cargador recupera y ejecuta el código de skimming malicioso, que descifra a JavaScript escrito para parecerse al código que se usaría para representar páginas de forma dinámica. Una vez ejecutado, el skimmer captura los datos de pago del formulario de pago.
“Para evitar aún más la detección, Baka usa un cifrado XOR para cifrar valores codificados de forma rígida y ofuscar el código de desnatado entregado por el C2. Si bien el uso de un cifrado XOR no es nuevo, esta es la primera vez que Visa observa su uso en malware de skimming de JavaScript. El desarrollador de este kit de malware utiliza la misma función de cifrado en el cargador y el skimmer ”, según la advertencia.
La alerta de seguridad de Visa también proporciona indicadores de compromiso (IoC) y las mejores prácticas y medidas de mitigación que las organizaciones pueden implementar para defenderse de esta nueva amenaza.
