Investigadores de seguridad han compartido información sobre un nuevo ataque skimmer, que muestra un nivel de sofisticación que rara vez se ve en este tipo de campañas. El nuevo ataque detectado por Akamai tiene como objetivo varios sitios de comercio electrónico en línea creados con diferentes marcos que utilizan una técnica alternativa que involucra WebSockets para extraer información de pago de tarjetas de pago.
“Las tiendas en línea subcontratan cada vez más sus procesos de pago a proveedores externos, lo que significa que no manejan datos de tarjetas de crédito dentro de su tienda. Para superar esto, el atacante crea un formulario de tarjeta de crédito falso y lo inyecta en la página de pago de la aplicación. La exfiltración en sí la realiza WebSockets, que proporciona al atacante una ruta de exfiltración más silenciosa ”, dijo Akamai.
Los piratas informáticos utilizan un skimmer de software para inyectar un cargador en la fuente de la página como un script en línea, que recupera un archivo JavaScript malicioso del servidor de control y comando de los atacantes. Una vez que se carga el script externo, el skimmer almacena en el LocalStorage del navegador su identificación de sesión generada y la dirección IP del cliente. Esos parámetros se envían como parte de la exfiltración de datos más adelante en la sesión.
Para obtener la dirección IP del usuario final, el skimmer utiliza una API de Cloudflare, dijo Akamai.
El uso de WebSockets es notable porque, por lo general, los ataques skimmer exfiltran datos mediante solicitudes XHR o etiquetas HTML. Una vez que el skimmer se carga en la página de destino, inicializa una comunicación WebSocket con su servidor de comando y control y la mantiene abierta enviando sockets de ping en intervalos. El skimmer rastrea los campos de entrada sensibles en la página de destino y envía sus valores para cada cambio que ocurra en su contenido.
“El uso de WebSockets proporciona al atacante un mejor mecanismo de ocultación ya que las solicitudes que se envían serán más" silenciosas ". Además, muchas políticas de CSP no limitan el uso de WebSockets ”, explicaron los investigadores.
Dado que muchos sitios de comercio electrónico subcontratan sus procesos de pago a proveedores externos, el skimmer crea un formulario de tarjeta de crédito falso en la página antes de que sea redirigido al proveedor externo, lo que le permite robar la información de la tarjeta de crédito de los usuarios.
“El formulario incluso valida la entrada del usuario y la información de la tarjeta de crédito y muestra al usuario mensajes de error relevantes. Una vez que el usuario hace clic en el botón falso "Pagar", el skimmer muestra un mensaje de que el pago no se puede procesar y permite que el usuario continúe con el flujo real de la aplicación ”, señalaron los investigadores.
https://www.cybersecurity-help.cz/blog/1752.html
