Los operadores de Magecart han ajustado un popular skimmer de tarjetas de crédito para apuntar solo a los usuarios móviles, ya que los consumidores hacen más de sus compras en línea desde sus teléfonos inteligentes que desde sus computadoras.
Según un nuevo informe de RiskIQ, el Inter Skimmer Kit es una de las soluciones de desnatado digital más comunes del mundo. Varios grupos de ciberdelincuentes han estado usando el kit Inter desde finales de 2018 para robar datos de pago y esto afecta a miles de sitios y consumidores en todo el mundo.
En marzo del año pasado, apareció en línea una nueva versión editada de Inter. Sin embargo, los operadores de Magecart lo modificaron aún más para crear MobileInter, que se enfoca solo en los usuarios móviles y apunta tanto a sus credenciales de inicio de sesión como a sus datos de pago.
Mientras que la primera iteración de MobileInter descargó las URL de exfiltración ocultas en imágenes de los repositorios de GitHub, la nueva versión contiene las URL de exfiltración en el código skimmer y utiliza WebSockets para la exfiltración de datos. MobileInter también está abusando de los dominios y servicios de rastreo de Google que imitan al gigante de las búsquedas para disfrazarse a sí mismo y a su infraestructura.
MobileInter
Dado que MobileInter solo se dirige a usuarios móviles, el skimmer rediseñado realiza una variedad de comprobaciones para garantizar que escaneará una transacción realizada en un dispositivo móvil.
El skimmer primero realiza una verificación de expresiones regulares contra la ubicación de la ventana para determinar si está en una página de pago, pero este tipo de verificación también puede averiguar si el userAgent de un usuario está configurado en uno. Navegadores móviles. MobileInter también verifica las dimensiones de una ventana del navegador para ver si es un tamaño asociado con un navegador móvil.
Después de estas comprobaciones, el skimmer realiza su desnatado y exfiltración de datos utilizando varias otras funciones. Algunas de estas funciones reciben nombres que podrían confundirse con servicios legítimos para evitar ser detectados. Por ejemplo, una función llamada 'rumbleSpeed' se usa para determinar la frecuencia con la que se intenta una exfiltración de datos, aunque se supone que se combina con el complemento jRumble para jQuery, que 'retumba' elementos en una página web. Para que el usuario pueda centrarse en ellos.
RiskIQ también ha identificado a MobileInter disfrazando sus operaciones de otra manera. Desde que la compañía comenzó a rastrear Magecart, ha observado que los actores de amenazas disfrazan sus dominios como servicios legítimos. Si bien la lista de dominios relacionados con MobileInter de RiskIQ es larga, muchos emulan a Alibaba, Amazon y jQuery.
Aunque los skimmers de tarjetas de crédito aparecieron por primera vez en el mundo real en las estaciones de servicio y otros lugares donde los usuarios pasaban el dedo para pagar, rápidamente encontraron su camino en línea y ahora se han pasado al móvil.