Los skimmers falsificaron la identidad de Cloudflare Rocket Loader para descargar la carga útil y robar las credenciales

Los skimmers de tarjetas de crédito están evolucionando con nuevas técnicas. Un skimmer reciente observado por Malwarebytes se hace pasar por el cargador de páginas de Cloudflare y roba detalles de tarjetas. La herramienta que están aprovechando aquí es la Cargador de cohetes Cloudflare, que se utiliza para mejorar la velocidad de carga de una página. Esto ha sido falsificado por los atacantes, lanzando código JavaScript malicioso a través de sitios web falsos y falsificados.

La clonación de tarjetas de crédito es uno de los mejores ataques utilizados por los piratas informáticos. Tienden a no correr riesgos, ya que roban todos estos detalles confidenciales de varios sitios y los venden a granel en la web oscura. Todo en lo que tenían que trabajar era en saber cómo depurar las credenciales de las tarjetas confidenciales de los usuarios. Obtener detalles mediante la suplantación de identidad es un truco común entre los skimmers. Se ha descubierto que Magecart, uno de esos famosos skimmers, se hace pasar por redes de entrega de contenido falso para descargar su carga útil.

skimmer de cohetes
skimmer de cohetes

el dominio falso

El análisis de un sitio web infectado reveló dos códigos diferentes de Cloudflare Rocket Loader. Uno es falso y otros son genuinos. Las fuentes de ambos revelaron más información a medida que la biblioteca del cargador falso se volvió muy ofuscada y se importó desde un nuevo dominio típico llamado http.ps. Se supone que esto es falso, ya que los atacantes están utilizando el actualizar de no mostrar «Https» y subdominios de casos especiales como «www» desde la versión 76 de Chrome.

Sitio web falso con http.ps
dos códigos diferentes

Este hecho oculto fue utilizado perfectamente por los atacantes para crear un sitio web de apariencia legítima como http.ps (https resonante) y descarte su código malicioso. Este dominio falso fue registrado en 2020-02-07 por la Autoridad Nacional Palestina de Nombres de Internet (PNINA), el registrador oficial de «.PD» TLD. Muchos investigadores de seguridad han advertido previamente cómo los atacantes utilizan este dominio para exploits. Sin embargo, se emitió.

Aquí, el código ofuscado tiene un código de exfiltración de datos a través de autocapital.pw. Hay otra versión de este código donde el skimmer se ofuscó de otra manera y realizó la exfiltración de datos a través del mismo puerto. autocapital.pw. Los investigadores creen que los atacantes son los mismos que hicieron con Radix, ya que los métodos de ofuscación son los mismos. A partir de ahora, GlobalSign ha revocado el certificado digital proporcionado a http[].PD.

Fuente: malwarebytes