No es, ni será, la primera vez que desde Hispasec recomendamos estar al día con las actualizaciones de nuestras plataformas de comercio electrónico. Un informe de MalwareBytes deja ver cómo sigue evolucionando el panorama del rastreo de tarjetas de crédito. Vamos a echar un vistazo a la última artimaña de skimming web que consiste en enviar los datos de las tarjetas de crédito a través de Telegram.
Nada fuera de lo normal
Los skimmers se insertan a la perfección en la experiencia de compra y solo aquellos con buen ojo para los detalles o que están armados con las herramientas de red adecuadas pueden notar que algo no está bien.
Actualmente hay un gran número de tiendas online que se están viendo afectadas por este tipo de ataques. Para los clientes es muy complicado detectar que están siendo robados, ya que para ellos la experiencia de compra no habría variado en absolutamente nada.
Skimming usando en Telegram
Supongo que no es necesario explicar qué es Telegram y por qué se ha convertido en una de las aplicaciones de mensajería más populares del panorama actual. Es por una de sus características por lo que los ciberdelincuentes han decidido usarlo como herramienta para llevar a cabo sus estafas online.
El cifrado de extremo a extremo se ha convertido en una funcionalidad utilizada día a día por ciberdelincuentes que buscan un alto grado de privacidad. Pero no solo eso, esta funcionalidad también está siendo utilizada para tareas automatizadas que se encuentran en el malware.
El pasado 28/08/2020 el investigador de seguridad @AffableKraut compartió en un hilo de Twitter la primera instancia documentada de un skimmer de tarjetas de crédito que usa Telegram.
Tal y como comenta el código del archivo malicioso sigue las directrices de otros skimmers y comprueba los depuradores web habituales para evitar ser analizado. También busca campos de interés, como facturación, pago, número de tarjeta de crédito, vencimiento y CVV.
La única novedad en el ataque es la presencia del código que utiliza Telegram para extraer los datos robados. El creador del skimmer codificó el ID y el canal del bot, así como la solicitud de la API de Telegram, con una codificación simple en Base64.
La exfiltración se activa solo si la URL actual del navegador contiene una palabra clave indicativa de una tienda online y cuando el usuario valida la compra. En este punto, el navegador enviará los detalles del pago tanto al procesador de pagos legítimo como a los ciberdelincuentes.
El intercambio de datos fraudulentos se realiza a través de la API de Telegram, que publica los detalles del pago en un canal de chat. Esa información se cifró previamente para dificultar la identificación.
Para los atacantes este mecanismo de robo de datos es eficiente y no requiere mantener una infraestructura que podría ser cerrada o bloqueada. Incluso pueden recibir una notificación en tiempo real para cada nueva víctima, ayudándolos a monetizar rápidamente las tarjetas robadas en mercados de la deepweb.
Como hemos visto, es una forma original de utilizar herramientas legítimas para llevar a cabo actos delictivos a través de nuestra red de redes. Y como dijimos al principio de este post, no es, ni será, la primera vez que nos encontremos con este tipo de estratagemas para hacerse con nuestros datos de una forma cómoda, por lo que recomendamos estar al día con las actualizaciones necesarias de nuestra plataforma de ventas.
Fuentes:
Deja una respuesta