El grupo de extracción de tarjetas de crédito Fullz House ha comprometido e inyectado en el sitio web del operador de red virtual móvil (MVNO) de EE. UU. Boom! Móvil un script para el robo de tarjetas de crédito.
¡Auge! Mobile ofrece a los clientes de EE. UU. Planes de servicio inalámbrico de pospago y prepago sin contrato que funcionan en las redes celulares más grandes del país, incluidas AT&T, Verizon y T-Mobile.
Este tipo de compromiso se conoce como ataque MageCart (también conocido como skimming web o e-skimming) y consiste en que los actores de amenazas inyectan scripts JavaScript maliciosos dentro de una o más secciones de un sitio web comprometido.
Luego, los piratas informáticos utilizan estos scripts para robar información personal o de pago enviada por los clientes de los sitios en formularios de comercio electrónico.
Como descubrió el equipo de inteligencia de amenazas de Malwarebytes, los atacantes inyectaron una sola línea de código que carga una biblioteca JavaScript externa de paypal-debit [.] Com / cdn / ga.js, camuflada como un script de Google Analytics.
El skimmer de tarjetas funciona recopilando información de la tarjeta de pago de los campos de entrada cada vez que detecta algún cambio, exfiltrando inmediatamente los datos recolectados como una solicitud GET codificada en Base64.
Si bien se desconoce el método exacto utilizado por el grupo Fullz House Magecart para infiltrarse en el sitio web de Boom, Malwarebytes observó que el sitio de la empresa ejecuta PHP versión 5.6.40, una versión no compatible desde enero de 2019.
"Informamos de este incidente a través de chat en vivo y correo electrónico a Boom! Mobile, pero no hemos recibido respuesta de ellos en el momento de escribir este artículo", explicó Malwarebytes. "Su sitio web todavía está comprometido y los compradores en línea todavía están en riesgo".
El combo de phishing y skimming
Fullz House es conocido por utilizar una táctica híbrida de skimming / phishing descubierta por investigadores de la empresa de gestión de amenazas digitales RiskIQ.
El grupo está involucrado tanto en el skimming como en el phishing de la información bancaria y de tarjetas de los clientes de proveedores de pago y durante los pagos en plataformas de comercio electrónico.
Se esforzaron por desarrollar sus propios skimmers web en lugar de confiar en skimmers prefabricados creados por otros que camuflan como un script de Google Analytics y se cargan a través de una etiqueta de script dentro de las tiendas online comprometidas (como es el caso del skimmer inyectado en el sitio de Boom! Mobile).
Sin embargo, a diferencia de los skimmers modernos que solo recopilan los datos cuando los clientes finalizan el pedido, los scripts de skimmer de Fullz House son extremadamente ruidosos y funcionan más como un registrador de teclas que comprueba continuamente los campos de entrada para detectar cambios.
Este skimmer también fue reutilizado por el grupo para que funcione como una herramienta de phishing que, una vez que las víctimas presionan el botón Comprar, las redirige de la tienda comprometida a páginas de pago falsas 'man-in-the-middle' diseñadas para imitar interfaces de pago legítimas. instituciones financieras.
En esta página, se les pide que ingresen los detalles de pago que se envían a los servidores de los atacantes una vez que se hace clic en el botón Pagar.
Una vez que eso sucede, las víctimas son redirigidas inmediatamente a la página del procesador de pagos real de la tienda para completar la compra sin saber que la información de su tarjeta de crédito fue robada.
https://www.bleepingcomputer.com/news/security/hacker-group-compromises-mobile-provider-to-steal-credit-cards/
