A Visa emitiu um alerta sobre um novo skimmer de cartão de crédito, rastreado como Baka, que implementa novos recursos para evitar a detecção.
A Visa emitiu um alerta sobre um novo e-skimmer conhecido como Baka, que se retira da memória após ter exfiltrado os detalhes do cartão de pagamento.
O e-skimmer foi identificado pela primeira vez por especialistas com a iniciativa Payment Fraud Disruption (PFD) da Visa em fevereiro de 2020, enquanto analisava um servidor de comando e controle (C2) empregado em outra campanha e que hospedava um kit de e-skimming ImageID .
Baka é um sofisticado e-skimmer desenvolvido por um desenvolvedor de malware habilidoso que implementa um método de ofuscação e carregador exclusivos.
“Os componentes mais atraentes deste kit são o carregador exclusivo e o método de ofuscação. O skimmer carrega dinamicamente para evitar scanners de malware estáticos e usa parâmetros de criptografia exclusivos para cada vítima para ofuscar o código malicioso. ” lê o alerta publicado pela VISA. “O PFD avalia que esta variante do skimmer evita a detecção e análise removendo-se da memória quando detecta a possibilidade de análise dinâmica com Ferramentas de Desenvolvimento ou quando os dados foram exfiltrados com sucesso.”
Os especialistas da PFD encontraram o skimmer Baka em vários sites de comerciantes em todo o mundo que estão usando o recurso eTD da Visa.
O carregador Baka funciona adicionando dinamicamente uma tag de script à página atual que carrega um arquivo JavaScript remoto. A URL do JavaScript é codificada no script do carregador em formato criptografado. Os especialistas observaram que os invasores podem alterar a URL de cada vítima
A carga útil do e-skimmer é descriptografada em JavaScript escrito para se parecer com o código que seria usado para renderizar páginas dinamicamente.
A carga útil final e o carregador usam o mesmo método de criptografia, uma vez executado, o skimmer do software rouba os dados do cartão de pagamento do formulário de checkout.
Baka é também o primeiro malware de skimming de JavaScript a usar uma cifra XOR para criptografar valores embutidos em código e ofuscar a carga útil de skimming entregue pelo comando e controle.
“Embora o uso de uma cifra XOR não seja novo, esta é a primeira vez que a Visa observou seu uso em malware de skimming de JavaScript. O desenvolvedor deste kit de malware usa a mesma função de cifra no carregador e no skimmer. ” continua o alerta.
O alerta inclui indicadores de comprometimento e a seguinte lista de melhores práticas e medidas de mitigação:
• Instituir verificações recorrentes em ambientes de comércio eletrônico para comunicação com os C2s.
• Garanta familiaridade e vigilância com código integrado em ambientes de comércio eletrônico por meio de provedores de serviço.
• Verifique de perto a utilização de Content Delivery Networks (CDN) e outros recursos de terceiros.
• Verifique e teste regularmente sites de comércio eletrônico em busca de vulnerabilidades ou malware. Contrate um profissional de confiança ou provedor de serviços com reputação de segurança para proteger o ambiente de comércio eletrônico. Faça perguntas e exija um relatório completo. Confie, mas verifique as medidas tomadas pela empresa que você contrata.
• Assegure-se regularmente de que o carrinho de compras, outros serviços e todos os softwares sejam atualizados ou corrigidos para as versões mais recentes para manter os invasores fora. Configure um firewall de aplicativo da Web para impedir que solicitações suspeitas e maliciosas cheguem ao site. Existem opções gratuitas, simples de usar e práticas para pequenos comerciantes.
• Limite o acesso ao portal administrativo e contas para aqueles que precisam deles.
• Exigir senhas administrativas fortes (use um gerenciador de senhas para obter melhores resultados) e habilite a autenticação de dois fatores.
• Considere o uso de uma solução de checkout totalmente hospedada, onde os clientes inserem seus detalhes de pagamento em outra página da web hospedada por essa solução de checkout, separada do site do comerciante. Esta é a maneira mais segura de proteger o comerciante e seus clientes contra malware de skimming de comércio eletrônico.
No ano passado, a Visa descobriu outro skimmer JavaScript rastreado como Pipka, usado por criminosos para roubar dados de pagamento de sites de comércio eletrônico.
Fonte: https://securityaffairs.co/wordpress/107965/malware/card-e-skimmer-baka.html