Los investigadores de seguridad cibernética destacaron hoy una técnica de phishing evasiva que los atacantes están explotando para atacar a los visitantes de varios sitios con nombres de dominio peculiares y aprovechar los favicons modificados para inyectar e-skimmers y robar información de tarjetas de pago de manera encubierta.

«La idea es simple y consiste en usar caracteres que se ven iguales para engañar a los usuarios», dijeron los investigadores de Malwarebytes en un análisis del jueves. «A veces, los caracteres son de un conjunto de idiomas diferente o simplemente escriben en mayúscula la letra ‘i’ para que parezca una ‘l’ minúscula».

La técnica, denominada ataque homógrafo de nombre de dominio internacionalizado (IDN), ha sido utilizada por un grupo de Magecart en múltiples dominios para cargar el popular kit de desnatado de Inter oculto dentro de un archivo de favicon.

El engaño visual generalmente implica aprovechar las similitudes de los scripts de caracteres para crear y registrar dominios fraudulentos de los existentes para engañar a los usuarios desprevenidos para que los visiten e introduzcan malware en los sistemas de destino.

En varios casos, Malwarebytes descubrió que los sitios web legítimos (por ejemplo, «cigarpage.com») fueron pirateados e inyectados con un código inocuo que hace referencia a un archivo de icono que carga una versión copiada del favicon del sitio señuelo («cigarpaqe[.]com»).

Este favicon cargado desde el dominio homoglyph se usaba a menudo para inyectar el skimmer Inter JavaScript que captura la información ingresada en una página de pago y extrae los detalles al mismo dominio utilizado para alojar el archivo de favicon malicioso.

Curiosamente, parece que uno de esos dominios falsos («zoplm.com») que se registró el mes pasado se relacionó previamente con Magecart Group 8, uno de los grupos de piratas informáticos bajo el paraguas de Magecart que se vinculó con ataques de robo de información web en NutriBullet, MyPillow , así como varios sitios web propiedad de una bolsa de diamantes nacional.

La violación de MyPillow, en particular, es digna de mención debido a las similitudes en el modus operandi, que implicó inyectar un JavaScript malicioso de terceros alojado en «mypiltow.com», un homónimo de «mypillow.com».

«A los actores de amenazas les encanta aprovechar cualquier técnica que les proporcione una capa de evasión, sin importar cuán pequeña sea», dijeron los investigadores. «La reutilización del código plantea un problema para los defensores, ya que difumina las líneas entre los diferentes ataques que vemos y dificulta cualquier tipo de atribución».

A medida que las estafas de phishing se vuelven más sofisticadas, es esencial que los usuarios analicen las URL del sitio web para asegurarse de que el enlace visible sea realmente el verdadero destino, evitar hacer clic en los enlaces de correos electrónicos, mensajes de chat y otro contenido disponible públicamente, y convertir el factor múltiple basado en autenticadores. verificación para asegurar que las cuentas no sean secuestradas.