Skimmer de tarjeta de crédito atrapado escondiéndose detrás del sitio web favicon


Un sitio world-wide-web que aparentemente ofrece imágenes e íconos para descargar es en realidad un encubrimiento para una operación de robo de tarjetas de crédito, dice Malwarebytes.

Los ciberdelincuentes utilizan todo tipo de trucos para tratar de legitimar sitios world wide web, archivos, correos electrónicos y otro contenido malicioso con la esperanza de atrapar a los usuarios desprevenidos. Una nueva campaña de malware analizada por la empresa de ciberseguridad Malwarebytes emplea una estrategia particularmente engañosa para potenciar los ataques de robo de tarjetas de crédito.

En una campaña de robo de tarjetas, los piratas informáticos obtienen acceso a un sitio de comercio electrónico y ocultan códigos maliciosos en ese sitio. Cuando un cliente retira e ingresa la información de la tarjeta de crédito para pagar la compra, los delincuentes capturan los datos de la tarjeta sin el conocimiento del usuario.

VER: Fuerza bruta y ataques de diccionario: una hoja de trucos (PDF gratuito) (TechRepublic)

en un publicación de website publicada el miércoles, Malwarebytes describió el proceso a través del cual un sitio net en distinct sirve como host para ataques de descremado. En la superficie, un sitio llamado myicons.net parece lo suficientemente inocente, ya que ofrece imágenes e íconos para que la gente los descargue. Entre las imágenes disponibles se encuentran los favicons, que son iconos que aparecen en la pestaña del navegador de un sitio website como un medio de marca o identificación.

Sin embargo, tras una investigación, Malwarebytes descubrió que el nombre de dominio de myicons.internet estaba registrado solo unos días antes y alojado en un servidor previamente identificado como malicioso. Además, myicons.internet se apropió de todo su contenido de otro sitio llamado iconarchive.com simplemente señalando ese sitio dentro de un iframe HTML.

Profundizando más, Malwarebytes descubrió que varios sitios de comercio electrónico estaban cargando un favicon de Adobe Magento desde el dominio myicons.net. Aunque la empresa de seguridad sospechaba que este favicon period malicioso, no pudo encontrar ningún código adicional en su inside. Sin embargo, descubrió actividad maliciosa en los sitios de comercio electrónico que estaban cargando el favicon de Magento desde myicons.internet.

En lugar de entregar un archivo de imagen, el servidor myicons.internet estaba cargando un código que consistía en un formulario de pago con tarjeta de crédito. Este formulario se carga dinámicamente y anula la opción de pago de PayPal con su propio menú para tarjetas MasterCard, Visa, Find y American Express. Al ultimate, cualquier información de tarjeta de crédito ingresada a través de este formulario se envía de vuelta a los delincuentes.

card-skimming-campaign-malwarebytes.jpg "src =" https://tr4.cbsistatic.com/hub/i/r/2020/05/07/9ac47c04-ca48-4e6a-b97d-13e44d6a213a/resize/770x/3291419ed9dc0cfbfa74e7891a0fd72c /card-skimming-campaign-malwarebytes.jpg

El contenido malicioso secuestra el formulario de pago predeterminado.

Imagen: Malwarebytes

Jerome Segura, director de inteligencia de amenazas para Malwarebytes, resumió la sofisticación de esta operación.

«El sitio internet myicons.web es una copia de un sitio world-wide-web legítimo utilizado para engañar a los investigadores / escáneres», dijo Segura. «Alberga un favicon Magento, que parece un archivo de imagen legítimo, excepto cuando se carga desde una página de pago comprometida. En este caso, la imagen se cambia por código JavaScript malicioso. Es una thought brillante porque está condicionada a la derecha elementos para estar en su lugar cuando en la superficie todo se ve limpio «.

Aunque se basa en la vieja táctica del robo de cartas, esta campaña en particular es bastante nueva, de menos de una semana, según Segura. Sin embargo, Malwarebytes cree que el grupo criminal detrás de él es un grupo establecido que está diversificando sus operaciones y ejecutando varias campañas al mismo tiempo.

Debido a que la campaña es nueva, aún no ha afectado a un gran número de usuarios o sitios.

«Al igual que con cualquier campaña de robo de tarjetas de crédito en curso, habrá un cierto número de víctimas, generalmente determinado por el tamaño de la operación», dijo Segura. «Aquí solo detectamos un puñado de comerciantes comprometidos, probablemente debido a que esto se acaba de lanzar».

Finalmente, ¿cómo pueden protegerse los usuarios del sitio net de este tipo de ataques de robo de tarjetas de crédito?

«El descremado world wide web es difícil de proteger porque puede afectar a casi cualquier marca y es invisible para el usuario», dijo Segura. «Sin embargo, puede limitar la exposición eligiendo ciertos tipos de pagos que no implican escribir su número de tarjeta de crédito cada vez. Además, recomendamos el filtrado de contenido net proporcionado por algunos proveedores de seguridad para bloquear la infraestructura de descremado conocida».

Ver también

Candado en la parte superior de las tarjetas de crédito en el teclado Concepto de seguridad cibernética "src =" https://tr1.cbsistatic.com/hub/i/r/2020/03/18/0aefeaae-7456-4d6f-aaeb-05e41d03d588/resize/770x /8dca06c274a8d4d54fdea307fc188692/safeguarding-consumer-info-cover-copy.jpg

Getty Photographs / iStockphoto



Enlace a la noticia unique