Los hackers de Fullz Home pasan del phishing a los ataques de robo de tarjetas Magecart


Los ataques de malware en hospitales están en aumento
La industria del cuidado de la salud almacena parte de la información individual más smart que puede haber sobre las personas: los hackers lo saben y buscan explotar lo que ven como un objetivo fácil.

Los esquemas de robo de cartas, también conocidos como ataques Magecart, se han convertido en una amenaza común en un mundo dominado por el comercio electrónico.

Vemos un ícono de candado o compramos productos de marcas populares y es posible que no consideremos la seguridad cibernética en absoluto, pero como ha resaltado una reciente serie de campañas de Magecart, incluso las empresas y organizaciones conocidas pueden ser víctimas si no vigilan de cerca en sus portales de pago y procesos de parcheo.

Cuando corporaciones establecidas como Ticketmaster y British Airways se convierten en víctimas, y posteriormente, también lo hacen sus clientes, usted sabe que tiene un problema en sus manos.

Desafortunadamente, los ataques de robo de cartas no son difíciles de realizar y, en algunos casos, pueden automatizarse. Los actores de amenazas comprueban los dominios world wide web para detectar vulnerabilidades maduras para explotar, aprovechar y comprometer un dominio, y plantar el código JavaScipt en páginas relacionadas con el pago para recoger los detalles de la tarjeta a medida que se envían antes de que esta información se envíe al servidor de comando y control (C2) en venta.

Dada la naturaleza lucrativa de este negocio fraudulento, Magecart se ha expandido de un término que describe un grupo a múltiples conjuntos, y un grupo, denominado Fullz Dwelling, recientemente llamó la atención de los investigadores.

El martes, RiskQ publicó un informe en las actividades de Fullz Residence y los cambios recientes en su modus operandi.

Fullz Home solía especializarse en phishing, pero ahora ha decidido sumergirse al llevar sus habilidades del ecosistema de phishing al mundo del robo de cartas.

El grupo opera un puesto comercial subterráneo llamado «BlueMagicStore» que vende «fullz», también conocido como paquetes completos de información, que incluyen tanto información de identificación particular (FII) como datos bancarios robados. Recientemente, Fullz Property se ha centrado en el robo de tarjetas para abrir «CardHouse», un punto de venta de información de tarjetas de crédito.

Ver también: Grupo Magecart vinculado al troyano bancario Dridex, Carbanak

Durante agosto y septiembre de este año, los investigadores notaron una superposición en su infraestructura de ataque que ahora combina ambas operaciones.

El lado del phishing de los ataques generalmente favorece a PayPal e imita a los proveedores de pagos en dominios fraudulentos. Curiosamente, ahora con un avance en el robo de tarjetas, los ciberdelincuentes han escrito su propio código de skimmer, algo que RiskIQ dice que ahora es algo raro.

La creación de Fullz Dwelling es más primitiva que muchos skimmers prefabricados que puedes comprar en línea. Los investigadores dicen que la funcionalidad del código es very similar a los primeros tipos de skimmer vistos en 2014, en los que se verifican los cambios en los campos de entrada, en lugar de esperar a que una víctima entire una compra.

«Esta implementación es primitiva y funciona más como un keylogger con validación de datos que como un skimmer», dice el equipo. «Estos delincuentes son nuevos en rozar y descifrarlo a medida que avanzan».

CNET: No te dejes engañar el Black Friday: 4 estafas para evitar este fin de semana de Acción de Gracias

Sin embargo, el skimmer viene con un giro interesante. Apoyándose en sus habilidades de phishing, el grupo de ciberataques también crea páginas de pago falsas en los mismos dominios que sus skimmers y redirige a las víctimas a procesadores de pagos legítimos después de que la información ha sido robada, realizando así una especie de Male-in-The-Center (MiTM) ataque para robar datos de pago en algunos casos.

A pesar de los intentos de ocultar sus actividades detrás de la nueva infraestructura de Cloudflare, RiskQ aún puede rastrearlos debido a fallas en ocultar sus configuraciones anteriores.

También se ha encontrado un enlace con StewieShop durante una investigación de las actividades de Fullz Dwelling. StewieShop es una tienda de tarjetas que comparte espacio IP con las tiendas Fullz Home, junto con una tienda de basura llamada The Infinity Base.

TechRepublic: Los profesionales de seguridad explican las mejores prácticas del Black Friday para consumidores y empresas

Si bien es difícil establecer firmemente a los propietarios de las tiendas criminales subterráneas, el equipo dice que «sienten firmemente que existe una profunda conexión entre ellos».

«El grupo Fullz cruzó del ecosistema de phishing para traer un conjunto de habilidades completamente nuevo al juego de descremado en línea», dice RiskIQ. «En última instancia, la imagen que surge es de un grupo bien conectado que tiene acceso a un alojamiento a prueba de balas, está educado en el mundo del phishing y, aunque es nuevo en el website skimming, tiene la astucia de hacerse un nicho».

A principios de este mes, Macy&#39s reportó una violación de datos causada por un implante de código Magecart. El JavaScript de eliminación de tarjetas no se detectó en el portal de pagos en línea del minorista de EE. UU. Durante aproximadamente una semana, afectando tanto la billetera de Macy como la página de pago.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia unique