Los grupos de ciberdelincuentes están en constante evolución para encontrar nuevas formas de robar información financiera, y el último truco en su arsenal es aprovechar la aplicación de mensajería Telegram para su beneficio.
En lo que es una nueva táctica adoptada por los grupos de Magecart, el servicio de mensajería cifrada se utiliza para enviar detalles de pago robados de sitios web comprometidos a los atacantes.
«Para los actores de amenazas, este mecanismo de exfiltración de datos es eficiente y no requiere que mantengan una infraestructura que los defensores podrían derribar o bloquear», dijo Jérôme Segura de Malwarebytes en un análisis del lunes. «Incluso pueden recibir una notificación en tiempo real por cada nueva víctima, lo que les ayuda a monetizar rápidamente las tarjetas robadas en los mercados clandestinos».
El TTP fue documentado públicamente por primera vez por el investigador de seguridad @AffableKraut en un Hilo de Twitter la semana pasada usando datos de la firma holandesa de ciberseguridad Sansec.
Inyectar e-skimmers en sitios web de compras mediante la explotación de una vulnerabilidad conocida o credenciales robadas para robar detalles de tarjetas de crédito es un modus operandi probado y probado de Magecart, un consorcio de diferentes grupos de piratas informáticos que se enfocan en los sistemas de carritos de compras en línea.
Estos skimmers de tarjetas de crédito virtuales, también conocidos como ataques de secuestro de formularios, suelen ser código JavaScript que los operadores insertan sigilosamente en un sitio web de comercio electrónico, a menudo en páginas de pago, con la intención de capturar los detalles de la tarjeta de los clientes en tiempo real y transmitirlos a un servidor controlado por un atacante remoto.
Pero en los últimos meses, han intensificado sus esfuerzos para ocultar el código del ladrón de tarjetas dentro de los metadatos de la imagen e incluso llevar a cabo ataques de homógrafos de IDN para plantar lectores web ocultos dentro del archivo favicon de un sitio web.
Lo que es novedoso esta vez es el método de extracción de datos (como nombre, dirección, número de tarjeta de crédito, vencimiento y CVV), que se realiza a través de un mensaje instantáneo enviado a un canal privado de Telegram utilizando una ID de bot codificada en el código de skimmer
«El intercambio de datos fraudulentos se realiza a través de la API de Telegram, que publica los detalles de pago en un canal de chat», dijo Segura. «Esos datos fueron encriptados previamente para dificultar la identificación».
La ventaja de usar Telegram es que los actores de amenazas ya no tienen que molestarse en configurar una infraestructura de comando y control separada para transmitir la información recopilada ni correr el riesgo de enfrentar la posibilidad de que esos dominios sean eliminados o bloqueados por servicios antimalware.
«Defenderse contra esta variante de un ataque de skimming es un poco más complicado ya que se basa en un servicio de comunicación legítimo», dijo Segura. «Obviamente, uno podría bloquear todas las conexiones a Telegram a nivel de red, pero los atacantes podrían cambiar fácilmente a otro proveedor o plataforma (como lo han hecho antes) y aún así salirse con la suya».
