El panorama del rastreo de tarjetas de crédito digitales sigue evolucionando, a menudo tomando prestadas técnicas utilizadas por otros autores de malware para evitar la detección.

Como defensores, buscamos cualquier tipo de artefacto e infraestructura maliciosa que podamos identificar para proteger a nuestros usuarios y alertar a los comerciantes afectados. Estos artefactos maliciosos pueden variar desde tiendas comprometidas hasta JavaScript, dominios y direcciones IP maliciosos que se utilizan para alojar un skimmer y exfiltrar datos.

Uno de esos artefactos es la llamada «puerta», que normalmente es un dominio o dirección IP donde los ciberdelincuentes envían y recopilan los datos robados de los clientes. Por lo general, vemos que los actores de las amenazas levantan su propia infraestructura de puerta o usan recursos comprometidos.

Sin embargo, existen variaciones que implican el abuso de programas y servicios legítimos, mezclándose así con el tráfico normal. En este blog, echamos un vistazo al último truco de skimming web, que consiste en enviar datos de tarjetas de crédito robadas a través de la popular plataforma de mensajería instantánea Telegram.

Una experiencia de compra normal

Estamos viendo un gran número de sitios de comercio electrónico atacados a través de una vulnerabilidad común o credenciales robadas. Los compradores inconscientes pueden visitar a un comerciante que se ha visto comprometido con un skimmer web y realizar una compra mientras, sin saberlo, entregan los datos de su tarjeta de crédito a los delincuentes.

Los skimmers se insertan a la perfección en la experiencia de compra y solo aquellos con buen ojo para los detalles o que están armados con las herramientas de red adecuadas pueden notar que algo no está bien.

Figura 1: Skimmer de tarjetas de crédito usando el bot de Telegram

El skimmer se activará en la página de pago y exfiltrará subrepticiamente la información personal y bancaria ingresada por el cliente. En términos simples, cosas como nombre, dirección, número de tarjeta de crédito, vencimiento y CVV se filtrarán a través de un mensaje instantáneo enviado a un canal privado de Telegram.

Skimmer basado en Telegram

Telegram es un servicio de mensajería instantánea popular y legítimo que proporciona cifrado de extremo a extremo. Varios ciberdelincuentes abusan de él para sus comunicaciones diarias, pero también para las tareas automatizadas que se encuentran en el malware.

Los atacantes han utilizado Telegram para exfiltrar datos antes, por ejemplo a través de caballos de Troya tradicionales, como el ladrón de Masad . Sin embargo, el investigador de seguridad @AffableKraut compartió la primera instancia documentada públicamente de un skimmer de tarjetas de crédito utilizado en Telegram en un hilo de Twitter .

El código del skimmer sigue la tradición en el sentido de que comprueba los depuradores web habituales para evitar ser analizados. También busca campos de interés, como facturación, pago, número de tarjeta de crédito, vencimiento y CVV.

Figura 2: Primera parte del código del skimmer

La novedad es la presencia del código de Telegram para exfiltrar los datos robados. El autor del skimmer codificó el ID y el canal del bot, así como la solicitud de la API de Telegram con una codificación simple en Base64 para mantenerlo alejado de miradas indiscretas.

Figura 3: Código de skimming que contiene la API de Telegram

La exfiltración se activa solo si la URL actual del navegador contiene una palabra clave indicativa de un sitio de compras y cuando el usuario valida la compra. En este punto, el navegador enviará los detalles del pago tanto al procesador de pagos legítimo como a los ciberdelincuentes.

Figura 4: Una compra en la que se roban y se filtran datos de la tarjeta de crédito

El intercambio de datos fraudulentos se realiza a través de la API de Telegram, que publica los detalles del pago en un canal de chat. Esa información se cifró previamente para dificultar la identificación.

Para los actores de amenazas, este mecanismo de exfiltración de datos es eficiente y no requiere que mantengan una infraestructura que podría ser derribada o bloqueada por los defensores. Incluso pueden recibir una notificación en tiempo real para cada nueva víctima, ayudándoles a monetizar rápidamente las tarjetas robadas en los mercados clandestinos.

Desafíos con la protección de la red

Defenderse contra esta variante de un ataque de skimming es un poco más complicado, ya que se basa en un servicio de comunicación legítimo. Obviamente, uno podría bloquear todas las conexiones a Telegram a nivel de red, pero los atacantes podrían cambiar fácilmente a otro proveedor o plataforma (como lo han hecho antes ) y aún así salirse con la suya.

Malwarebytes Browser Guard identificará y bloqueará este ataque de skimming específico sin deshabilitar o interferir con el uso de Telegram o su API. Hasta ahora solo hemos identificado un par de tiendas en línea que se han visto comprometidas con esta variante, pero es probable que haya varias más.

Figura 5: Malwarebytes bloqueando este ataque de skimming

Como siempre, necesitamos adaptar nuestras herramientas y metodologías para mantenernos al día con los ataques con motivación financiera dirigidos a plataformas de comercio electrónico. Los comerciantes en línea también juegan un papel muy importante en descarrilar esta empresa criminal y preservar la confianza de su base de clientes. Al ser proactivos y vigilantes, los investigadores de seguridad y los proveedores de comercio electrónico pueden trabajar juntos para derrotar a los ciberdelincuentes que se interponen en el camino de los negocios legítimos.