• TECNOVAN LATAM es ciberseguridad en Latinoamérica.
Linkedin X-twitter Facebook Youtube

Malware de compras en línea se esconde en botones de redes sociales

El skimmer roba datos de tarjetas de crédito utilizando esteganografía para esconderse a plena vista en imágenes aparentemente benignas.

Un malware de robo de tarjetas de pago que se esconde dentro de los botones de las redes sociales está circulando, comprometiendo las tiendas en línea a medida que avanza la temporada de compras navideñas.

Según los investigadores de Sansec, el skimmer se esconde en botones falsos de redes sociales, que pretenden permitir compartir en Facebook, Twitter e Instagram. Los ciberatacantes obtienen acceso al código de los sitios web y luego colocan los botones falsos en las páginas de pago y comercio electrónico.

En cuanto al vector de infección inicial, «Hemos encontrado varias causas raíz (interceptación de contraseñas, vulnerabilidades sin parche, etc.), por lo que sospechamos que los atacantes están reuniendo víctimas de diferentes fuentes», indico a un medio intarnacional Willem de Groot, fundador de Sansec.

Una vez instalado en la página, el malware se comporta como el grupo generalizado de skimmers de Magecart , con el código siendo analizado y ejecutado por la PC de un comprador para recolectar tarjetas de pago y cualquier otra información ingresada en los campos en línea de un sitio, agregó.

Si bien los skimmers han agregado su carga útil maliciosa a archivos benignos como imágenes en el pasado, esta es la primera vez que se crea un código malicioso como una imagen perfectamente válida. El resultado es que los escáneres de seguridad ya no pueden encontrar malware simplemente probando una sintaxis válida.

La carga útil maliciosa asume la forma de un <svg> elemento html , utilizando el <path>elemento como un contenedor para la carga útil. La carga útil en sí se oculta utilizando una sintaxis que se parece mucho al uso correcto del <svg> elemento. Para completar la ilusión de que la imagen es benigna, el creador del malware le ha puesto el nombre de una empresa de redes sociales de confianza. Una investigación adicional ha revelado que se están utilizando al menos seis nombres principales:

Imagen vía Sansec

Esteganografía

La segunda parte del malware es un decodificador que interpreta y ejecuta la carga útil. A continuación se muestra una versión embellecida:

Imagen vía Sansec

Vale la pena señalar que el decodificador no tiene que inyectarse en la misma ubicación que la carga útil. Esto se suma a su ocultación, ya que al encontrar solo una de las partes, es posible que no se deduzca el verdadero propósito de un svg con un formato ligeramente extraño.

Por supuesto, un atacante puede ocultar cualquier carga útil con esta técnica.