Actores de amenazas que comprometen las páginas de pago en línea de empresas estadounidenses para robar información de tarjetas de crédito


Un actor de amenazas ha comprometido y modificado con éxito la página de pago de un sitio world-wide-web comercial de EE. UU. para recopilar todos los datos de tarjetas de crédito de clientes desprevenidos. Obtenga más información sobre cómo protegerse de esta amenaza.

tarjeta-de-credito-skim-us-business-fbi
Imagen: weerapat1003/Adobe Stock.

un nuevo Informe rapido del FBI advierte sobre los actores cibernéticos que extraen datos de tarjetas de crédito de páginas de pago en línea comprometidas de empresas estadounidenses.

Todo comienza con un compromiso.

Según el FBI, una empresa estadounidense fue atacada en septiembre de 2020 por un actor de amenazas no identificado, que insertó un código PHP malicioso en la página de pago del sitio net de la empresa objetivo.

La página de pago se modificó para incluir un enlace a otra pieza de código llamada «cart_needed_data files.php». Ese archivo, a su vez, condujo a otro script PHP malicioso denominado «TempOrders.php» que contenía un código para raspar y extraer datos de clientes desprevenidos del carrito de compras. Cada usuario que compre algo en ese sitio world-wide-web comprometido, sin saberlo, enviará los datos de su tarjeta de crédito a los estafadores.

VER: Política de seguridad de dispositivos móviles (High quality de TechRepublic)

La forma en que se enviaban los datos a los estafadores consistía en establecer una conexión y enviar los datos a un dominio de procesamiento de tarjetas falsificado, Authorizen.web. El nombre de dominio es muy related al dominio de una empresa legítima de procesamiento de tarjetas, authorize.net.

Tal como descubrió TechRepublic, el dominio fraudulento se registró en diciembre de 2016, y los usuarios de Online sospechosos informaron sobre su uso fraudulento desde al menos noviembre de 2018. El alojamiento de Authorizen.web ha cambiado varias veces desde 2016, en servidores rusos y rumanos. solamente.

Más puertas traseras y herramientas

El actor de amenazas instaló dos puertas traseras diferentes en el sitio internet comprometido.

El primer backdoor consistía en insertar una línea de código en el proceso de inicio de sesión del sitio world-wide-web. Tras la ejecución, el sistema descargaría un shell internet PAS completamente funcional en el servidor website de la empresa afectada, según el FBI. El shell world-wide-web PAS, también conocido como Fobushell, fue creado por un desarrollador ucraniano apodado Profexer y existe desde 2016. Se puede encontrar una versión modificada en línea. El shell world wide web está hecho de miles de líneas de código PHP, lo que proporciona una interfaz cómoda para los atacantes directamente en el sitio world wide web de las víctimas (Figura A).

Figura A

fbi-us-business-cc-robo-figA
Imagen: Github. La interfaz de shell website de PAS brinda acceso completo a los archivos del sitio internet comprometido.

La segunda puerta trasera instalada por el actor de amenazas desconocido usó una expresión normal para insertar y ejecutar el código enviado como una variable de solicitud HTTP llamada «u» (Figura B).

Figura B

fbi-us-business-cc-robo-figB
Imagen: FBI. Ejemplo de solicitud HTTP utilizada para establecer una puerta trasera rudimentaria.

El actor de amenazas utilizó otro shell world wide web llamado B374K con fines de puerta trasera. Una vez más, es posible encontrar este shell internet en World-wide-web, lo que facilita que cualquier ciberdelincuente lo posea y lo use.

El atacante también usó una herramienta legítima llamada Adminer, una herramienta de manejo de bases de datos basada en PHP. La herramienta se puede utilizar para administrar el contenido de la base de datos MySQL.

El robo de tarjetas de crédito es una tendencia creciente

Un número cada vez mayor de actores de amenazas se está especializando en este tipo de ciberdelincuencia. Magecart, por ejemplo, es un grupo de actores que se dirigen a miles de sitios web para recopilar datos de tarjetas de crédito, activo desde 2016.

La actividad de desnatado también ha aumentado últimamente debido a la disponibilidad de kits de desnatado a precios relativamente bajos. Investigaciones recientes revelaron que el servicio de skimming de CaramelCorp proporcionó una suscripción de por vida por $ 2,000 USD, lo que facilita que los ciberdelincuentes de bajo nivel técnico ingresen al juego y comiencen a recopilar números de tarjetas de crédito para realizar más fraudes y robos de dinero.

Cómo protegerse de la amenaza

Como de costumbre, la primera recomendación es actualizar y parchear los sistemas operativos y todo el computer software y el código que se ejecuta en el sitio web. Esto disminuirá en gran medida las probabilidades de verse comprometido con una vulnerabilidad conocida.

Dave Cundiff, CISO de Cyvatar, dijo a TechRepublic que “verificar y monitorear continuamente la ciberseguridad elementary de una organización es un requisito en estos días. Si los fundamentos de la seguridad de una organización no son sólidos, entonces la complejidad adicional de cualquier seguridad adicional es inútil. Casi todos los ataques o compromisos que hemos estado rastreando en los últimos años podrían haberse evitado o al menos haber reducido en gran medida el impacto siguiendo el enfoque básico de higiene de la seguridad fundamental”.

También se debe realizar un seguimiento cuidadoso de las aplicaciones net y del servidor para detectar accesos no autorizados o actividades anómalas en el servidor website.

La autenticación de múltiples factores también debe configurarse para cada empleado que necesite acceder a cualquier parte del servidor world-wide-web o datos manejados por el servidor world-wide-web. Las credenciales predeterminadas, si las hay, también deben eliminarse por completo.

También es necesario realizar verificaciones permanentes de la integridad del contenido website y deben implementarse soluciones de seguridad de filtrado de contenido y monitoreo de archivos. Dado que los actores de amenazas están modificando sistemáticamente scripts legítimos del sitio web para implementar sus puertas traseras o permitir el robo de datos de tarjetas de crédito, cualquier cambio en un archivo estático de cualquier proceso de actualización debe marcarse e investigarse de inmediato. Se debe aplicar un enfoque especial en los scripts, como los archivos PHP, JS o ASPX. Cualquier archivo nuevo creado en el servidor website debe generar una alarma y debe investigarse.

Ron Bradley, vicepresidente de Shared Assessments, insiste en que “si tiene un sitio website, especialmente uno que realiza transacciones de fondos, y no tiene FIM implementado, entonces no quiero comprar allí. Además, vas a ser golpeado por malos actores porque no tienes tu casa en orden. Es un hecho bien conocido que los datos de tarjetas de crédito siempre han sido una de las joyas de la corona para los estafadores. Es fascinante para mí cuando una empresa tiene datos de tarjetas comprometidos mientras que fácilmente se podrían haber implementado medidas probadas. Comprender los controles técnicos que su organización y las partes asociadas tienen implementadas para defenderse de los ataques fundamentales es un imperativo en el mundo del comercio electrónico”.

Divulgación: trabajo para Development Micro, pero las opiniones expresadas en este artículo son mías.



Enlace a la noticia unique