CDN falsos que ocultan a los estafadores de tarjetas de crédito


Los ciberdelincuentes intentan robar los datos personales de los compradores en línea sin que los descubran disfrazados. skimmers de tarjetas de crédito detrás de las redes de entrega de contenido falso (CDN), en una nueva técnica descubierta y descrita por el investigador de Malwarebytes Jérôme Segura, que identificó un código sospechoso al acecho en el sitio web de una popular boutique francesa.

«A veces, lo que parece un CDN [content delivery network] puede resultar ser cualquier cosa menos «, dijo Segura. “Usar dominios parecidos no es nada nuevo entre los autores de malware. Una tendencia que vemos bastante con los skimmers web en particular son los dominios que imitan a Google Analytics. Prácticamente todos los sitios web utilizan este servicio para su clasificación y estadísticas, por lo que es una copia muy creíble.

«El último caso que descubrimos utiliza dos dominios diferentes que fingen ser un CDN», dijo. “Si bien la segunda parte de la infraestructura se usa normalmente para la exfiltración de datos, solo actúa como un intermediario que intenta ocultar el servidor de exfiltración real.

“Curiosamente, los delincuentes decidieron usar un servidor web local expuesto a Internet a través del servicio gratuito ngrok para recopilar los datos robados. Esta combinación de trucos y tecnologías nos muestra que los estafadores pueden diseñar esquemas muy personalizados en un intento de evadir la detección «, dijo Segura.

El sitio de comercio electrónico comprometido contenía código que a simple vista parecía ser simplemente un biblioteca jQuery cargado desde un CDN de terceros. Ambos parecerían ser legítimos, pero en una inspección más cercana reveló algunas inconsistencias: notablemente un campo que busca un número de tarjeta de crédito, que no debería existir para dicho complemento, lo que sugiere que de hecho puede ser un skimmer.

Segura verificó una copia archivada del sitio y la comparó con el código de la versión en vivo, y descubrió que unas semanas antes, el script no había estado presente, lo que significa que fue agregado recientemente por el propietario del sitio o inyectado por los atacantes.

El script funciona comprobando la URL actual en la barra de direcciones del navegador del usuario, y si coincide con la página de pago de la tienda, comenzará a recopilar datos del formulario, como nombres, direcciones, correos electrónicos, números de teléfono e información de la tarjeta de crédito.

Una vez recopilado, el skimmer extrae datos a otra ubicación, aunque Segura realmente encontró que esto era un intermediario: una simple redirección reveló el destino real, un servidor ngrok personalizado. Ngrok es un servicio gratuito que expone a los servidores locales a Internet público: los usos legítimos incluyen probar sitios web y aplicaciones móviles sin implementarlos, o ejecutar servicios personales en la nube desde casa.

Malwarebytes dijo que esto fue claramente un intento de los ciberdelincuentes responsables de enmascarar su actividad y ampliar la pequeña ventana de oportunidad que tendrían antes de que la hazaña fuera detectada y detenida.

«Capturamos esta campaña desde el principio, y en ese momento solo un puñado de sitios habían sido inyectados con el skimmer», dijo Segura. “Lo informamos a las partes afectadas y también nos aseguramos de que los usuarios de Malwarebytes estuvieran protegidos contra él.

“Si bien estas infracciones perjudican la reputación de los comerciantes en línea, los clientes también sufren las consecuencias de un hack. No solo tienen que pasar por la molestia de obtener nuevas tarjetas de crédito, sino que también les roban sus identidades, abriendo la puerta a futuros ataques de phishing e intentos de suplantación de identidad ”, dijo.