Investigadores de seguridad han compartido informaciĆ³n sobre un nuevo ataque skimmer, que muestra un nivel de sofisticaciĆ³n que rara vez se ve en este tipo de campaƱas. El nuevo ataque detectado por Akamai tiene como objetivo varios sitios de comercio electrĆ³nico en lĆnea creados con diferentes marcos que utilizan una tĆ©cnica alternativa que involucra WebSockets para extraer informaciĆ³n de pago de tarjetas de pago.
“Las tiendas en lĆnea subcontratan cada vez mĆ”s sus procesos de pago a proveedores externos, lo que significa que no manejan datos de tarjetas de crĆ©dito dentro de su tienda. Para superar esto, el atacante crea un formulario de tarjeta de crĆ©dito falso y lo inyecta en la pĆ”gina de pago de la aplicaciĆ³n. La exfiltraciĆ³n en sĆ la realiza WebSockets, que proporciona al atacante una ruta de exfiltraciĆ³n mĆ”s silenciosa ”, dijo Akamai.
Los piratas informĆ”ticos utilizan un skimmer de software para inyectar un cargador en la fuente de la pĆ”gina como un script en lĆnea, que recupera un archivo JavaScript malicioso del servidor de control y comando de los atacantes. Una vez que se carga el script externo, el skimmer almacena en el LocalStorage del navegador su identificaciĆ³n de sesiĆ³n generada y la direcciĆ³n IP del cliente. Esos parĆ”metros se envĆan como parte de la exfiltraciĆ³n de datos mĆ”s adelante en la sesiĆ³n.
Para obtener la direcciĆ³n IP del usuario final, el skimmer utiliza una API de Cloudflare, dijo Akamai.
El uso de WebSockets es notable porque, por lo general, los ataques skimmer exfiltran datos mediante solicitudes XHR o etiquetas HTML. Una vez que el skimmer se carga en la pĆ”gina de destino, inicializa una comunicaciĆ³n WebSocket con su servidor de comando y control y la mantiene abierta enviando sockets de ping en intervalos. El skimmer rastrea los campos de entrada sensibles en la pĆ”gina de destino y envĆa sus valores para cada cambio que ocurra en su contenido.
“El uso de WebSockets proporciona al atacante un mejor mecanismo de ocultaciĆ³n ya que las solicitudes que se envĆan serĆ”n mĆ”s" silenciosas ". AdemĆ”s, muchas polĆticas de CSP no limitan el uso de WebSockets ”, explicaron los investigadores.
Dado que muchos sitios de comercio electrĆ³nico subcontratan sus procesos de pago a proveedores externos, el skimmer crea un formulario de tarjeta de crĆ©dito falso en la pĆ”gina antes de que sea redirigido al proveedor externo, lo que le permite robar la informaciĆ³n de la tarjeta de crĆ©dito de los usuarios.
“El formulario incluso valida la entrada del usuario y la informaciĆ³n de la tarjeta de crĆ©dito y muestra al usuario mensajes de error relevantes. Una vez que el usuario hace clic en el botĆ³n falso "Pagar", el skimmer muestra un mensaje de que el pago no se puede procesar y permite que el usuario continĆŗe con el flujo real de la aplicaciĆ³n ”, seƱalaron los investigadores.
https://www.cybersecurity-help.cz/blog/1752.html
