Novo ladrão da web rouba dados de cartão de crédito e envia para criminosos via Telegram
O cenário de skimming de cartão de crédito digital continua evoluindo, muitas vezes usando técnicas emprestadas por outros autores de malware para evitar a detecção.
Como defensores, procuramos qualquer tipo de artefatos e infraestrutura maliciosa que possamos identificar para proteger nossos usuários e alertar os comerciantes afetados. Esses artefatos maliciosos podem variar de armazenamentos comprometidos a JavaScript, domínios e endereços IP maliciosos usados para hospedar um skimmer e exfiltrar dados.
Um desses artefatos é o chamado “portão”, que normalmente é um domínio ou endereço IP onde dados roubados de clientes são enviados e coletados por cibercriminosos. Normalmente, vemos os agentes de ameaças criarem sua própria infraestrutura de portão ou usarem recursos comprometidos.
No entanto, existem variações que envolvem o abuso de programas e serviços legítimos, misturando-se assim com o tráfego normal. Neste blog, damos uma olhada no mais recente truque de skimming na web, que consiste no envio de dados de cartão de crédito roubados por meio da popular plataforma de mensagens instantâneas Telegram.
Uma experiência de compra normal
Estamos vendo um grande número de sites de comércio eletrônico serem atacados por meio de uma vulnerabilidade comum ou de credenciais roubadas. Os compradores inconscientes podem visitar um comerciante que foi comprometido com um skimmer da web e fazer uma compra enquanto, sem saber, entregam seus dados de cartão de crédito a criminosos.
Os skimmers inserem-se perfeitamente na experiência de compra e apenas aqueles com um olhar aguçado para os detalhes ou que estão armados com as ferramentas de rede adequadas podem perceber que algo não está certo.
O skimmer se tornará ativo na página de pagamento e secretamente exfiltrará as informações pessoais e bancárias inseridas pelo cliente. Em termos simples, coisas como nome, endereço, número do cartão de crédito, validade e CVV vazarão por meio de uma mensagem instantânea enviada a um canal privado do Telegram.
Escumadeira baseada em telegrama
Telegram é um serviço popular e legítimo de mensagens instantâneas que fornece criptografia de ponta a ponta. Vários cibercriminosos abusam dele para suas comunicações diárias, mas também para tarefas automatizadas encontradas em malware.
Os invasores já usaram o Telegram para exfiltrar dados antes, por exemplo, por meio de cavalos de Tróia tradicionais, como o ladrão de Masad . No entanto, o pesquisador de segurança @AffableKraut compartilhou a primeira instância documentada publicamente de um skimmer de cartão de crédito usado no Telegram em um tópico do Twitter .
O código do skimmer mantém a tradição no sentido de que verifica os depuradores da web usuais para evitar que sejam analisados. Também procura campos de interesse, como cobrança, pagamento, número do cartão de crédito, vencimento e CVV.
A novidade é a presença do código do Telegram para exfiltrar os dados roubados. O autor do skimmer codificou o ID do bot e o canal, bem como a solicitação da API do Telegram com codificação Base64 simples para mantê-lo longe de olhares indiscretos.
A exfiltração é acionada apenas se o URL atual do navegador contiver uma palavra-chave indicativa de um site de compras e quando o usuário valida a compra. Nesse ponto, o navegador enviará os detalhes do pagamento ao processador de pagamento legítimo e aos cibercriminosos.
A troca de dados fraudulenta é conduzida via API do Telegram, que publica os detalhes do pagamento em um canal de chat. Esses dados foram criptografados anteriormente para tornar a identificação mais difícil.
Para os agentes de ameaças, esse mecanismo de exfiltração de dados é eficiente e não exige que eles mantenham a infraestrutura que pode ser desativada ou bloqueada pelos defensores. Eles podem até receber uma notificação em tempo real para cada nova vítima, ajudando-os a monetizar rapidamente os cartões roubados em mercados clandestinos.
Desafios com proteção de rede
A defesa contra essa variante de ataque de skimming é um pouco mais complicada, pois ela depende de um serviço de comunicação legítimo. Obviamente, é possível bloquear todas as conexões com o Telegram no nível da rede, mas os invasores podem facilmente mudar para outro provedor ou plataforma (como fizeram antes ) e ainda assim se safar.
O Malwarebytes Browser Guard identificará e bloqueará esse ataque de skimming específico sem desativar ou interferir no uso do Telegram ou de sua API. Até agora, identificamos apenas algumas lojas online que foram comprometidas com esta variante, mas provavelmente existem várias outras.
Fonte: https://blog.malwarebytes.com/web-threats/2020/09/web-skimmer-steals-credit-card-data-via-telegram