Los grupos de ciberdelincuentes evolucionan constantemente, esto con la intención de encontrar nuevas formas de obtener información financiera de su víctima. Un ejemplo de esto es la aplicación Telegram, la cual está siendo aprovechada por los delincuentes.
El uso del servicio de mensajería encriptado está siendo utilizado por los grupos de Magecart para enviar detalles de pagos obtenidos de sitios web comprometidos por los ciberdelincuentes. Para estos, este mecanismo es eficiente y no requiere que se mantenga una infraestructura que se podría bloquear o inhabilitar.
Inyectar e-skimmers en sitios web de compras mediante la explotación de una vulnerabilidad conocida o credenciales obtenidas ilícitamente para conseguir detalles de tarjetas de crédito es un modus operandi propio de Magecart, un consorcio de diferentes grupos de cibercriminales.
Estos skimmers de tarjetas de crédito virtuales, son código JavaScript que los cibercriminales insertan sigilosamente en un sitio web de comercio electrónico, con la intención de capturar los detalles de la tarjeta de las víctimas en tiempo real y transmitirlos a un servidor remoto controlado por un atacante.
Durante los últimos meses han estado intentando ocultar el código malicioso del skimer dentro de los metadatos de las imágenes e incluso llevar a cabo ataques homógrafos. Lo novedoso es que ahora los atacantes envían los datos como el nombre, la dirección, el número de la tarjeta de crédito, la fecha de vencimiento y el CVV a través de un canal privado de Telegram usando un ID de bot codificado en el código del skimmer.
Para lograr lo anterior mencionado los atacantes utilizando la API de Telegram, la cual publicaba la información en un canal de chat.
La ventaja de usar Telegram es que los atacantes ya no tienen que configurar una infraestructura de comando y control (C2, abreviado en inglés) separado para transmitir la información recopilada ni arriesgarse a enfrentar la posibilidad de que esos dominios sean eliminados o bloqueados por servicios anti-malware.
Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:
Para el personal de seguridad de información:
- Navegar en páginas de e-commerce seguras y reconocidas.
- Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.
- Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.
- Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.
** Es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de los servicios, con el propósito de aplicar los cambios de manera controlada.