Desde hace más de un año, una campaña con motivación financiera se dirige a empresas de pagos en línea en Asia Pacífico, América del Norte y América Latina con web skimmers.
El equipo de investigación e inteligencia de BlackBerry está rastreando la actividad bajo el nombre Skimmer silencioso, atribuyéndolo a un actor que conoce el idioma chino. Entre las víctimas destacadas se incluyen empresas en línea y proveedores de servicios de puntos de venta (PoS).
«Los operadores de la campaña explotan vulnerabilidades en las aplicaciones web, particularmente en las alojadas en Internet Information Services (IIS)», la firma canadiense de ciberseguridad dicho. «Su objetivo principal es comprometer la página de pago y robar los datos de pago confidenciales de los visitantes».
A un punto de apoyo inicial exitoso, los actores de amenazas aprovechan múltiples herramientas de código abierto y técnicas de vida de la tierra (LotL) para la escalada de privilegios, la post-explotación y la ejecución de código.
La cadena de ataque conduce a la implementación de un troyano de acceso remoto basado en PowerShell (server.ps1) que permite controlar de forma remota el host, que, a su vez, se conecta a un servidor remoto que alberga utilidades adicionales, incluida la descarga de scripts, servidores proxy inversos y Balizas de ataque de cobalto.
El objetivo final de la intrusión, según BlackBerry, es infiltrarse en el servidor web y colocar un raspador en el servicio de pago por medio de un shell web y capturar sigilosamente la información financiera ingresada por las víctimas en la página.
Un examen de la infraestructura del adversario revela que los servidores privados virtuales (VPS) utilizados para el comando y control (C2) se eligen en función de la geolocalización de las víctimas en un esfuerzo por evadir la detección.
La diversidad de industrias y regiones atacadas, junto con el tipo de servidores atacados, apunta a una campaña oportunista más que a un enfoque deliberado.
«El atacante se centra predominantemente en sitios web regionales que recopilan datos de pago, aprovechando las vulnerabilidades en tecnologías comúnmente utilizadas para obtener acceso no autorizado y recuperar información de pago sensible ingresada o almacenada en el sitio», dijo BlackBerry.
La revelación se produce cuando Sophos reveló detalles de una estafa de matanza de cerdos en la que los objetivos potenciales son atraídos a invertir en esquemas de inversión falsos en criptomonedas después de haber sido contactados en aplicaciones de citas como MeetMe, generando a los actores millones en ganancias ilícitas.
Lo que distingue a esta última operación es el uso de minería de liquidez señuelos, que prometen a los usuarios ingresos regulares con altas tasas de rendimiento por la inversión en un fondo de liquidez, donde los activos virtuales se estacionan para facilitar las operaciones en intercambios descentralizados.
«Estas estafas no requieren malware en el dispositivo del objetivo, ni ningún tipo de ‘piratería’ de ningún tipo que no sean sitios web fraudulentos e ingeniería social, convenciendo a los objetivos de que conecten su billetera a un contrato inteligente de Ethereum que les dé a los estafadores permiso para vaciar la billetera», seguridad investigador Sean Gallagher dicho.