Tiendas en línea están siendo atacadas con malware que roba información
Los vendedores en línea son el objetivo de una nueva campaña para impulsar el malware de robo de información Vidar. El malware permite a los atacantes robar credenciales para ataques más dañinos.
La nueva campaña se lanzó esta semana, con ciberdelincuentes que envían quejas a los administradores de tiendas en línea a través de correos electrónicos y formularios de contacto del sitio web.
Estos correos electrónicos pretenden ser de un cliente de una tienda en línea a quien se le dedujeron $550 de su cuenta bancaria después de que un supuesto pedido no se tramitó correctamente.
Expertos analizaron unos de estos correos electrónicos esta semana y, después de investigar el ataque, lo encontraron generalizado con muchos envíos a VirusTotal durante la última semana.
Apuntando a vendedores en línea
Los vendedores en línea son un objetivo jugoso para los ciberdelincuentes, ya que obtener credenciales para el backend de los sitios de comercio electrónico permite varios tipos de ataques.
Por ejemplo, una vez que un atacante que obtiene acceso al backend de administración de una tienda en línea, puede inyectar scripts JavaScript maliciosos para realizar ataques de MageCart. Un ataque de MageCart ocurre cuando el código malicioso roba las tarjetas de crédito de los clientes y la información personal de los clientes durante el pago.
El acceso de back-end también se puede usar para robar la información del cliente de un sitio generando copias de seguridad para la base de datos de la tienda, que se puede usar para extorsionar a las víctimas, amenazándolas con pagar un rescate o los datos se filtraran públicamente o se venderían a otros ciberdelincuentes.
Correo de phishing
A principios de esta semana, un experto recibió un correo electrónico que simulaba ser de un cliente al que se le cobró $550, a pesar de que un pedido no se realizó correctamente. El correo lo puedes ver a continuación:
“Le escribo para transmitir mi profunda preocupación y decepción con respecto a una transacción reciente que hice en su sitio web.
El 14 de mayo de 2023, realicé una compra de artículos por un valor de más de $550 en su tienda.
Sin embargo, ha surgido un problema sustancial que requiere su atención inmediata.
Inmediatamente después de haber completado la compra, encontré una advertencia de error en su página web, que indica que no se pudo realizar el pago y que simplemente no se descontaron los fondos de mi tarjeta bancaria. Para mi sorpresa, al revisar mi cuenta bancaria, descubrí que el pago efectivamente se había ejecutado y se retiró la misma cantidad. Le insto a que maneje este problema con la máxima urgencia y lo solucione rápidamente.
Es fundamental que analice la causa de esta discrepancia y tome acciones inmediatas para devolver la cantidad de dinero sustraída.
Para su revisión y como prueba de la compra, he proporcionado una copia de mi extracto bancario a continuación, que obviamente muestra el retiro de fondos.
Esto debería actuar como prueba final del pago y resaltar la urgencia del reembolso completo.
Realmente valoraré sus acciones inmediatas.
Aquí está el hipervínculo a mi declaración https://bit.ly/xxxx”
En el correo electrónico anterior se incluyó un enlace de bit.ly al supuesto extracto bancario, abreviado para ocultar el enlace original.
El correo electrónico está escrito para impartir un sentido de urgencia, exigiendo que el minorista emita un reembolso e investigue la causa raíz del problema.
Ataque
Al hacer clic en la URL, a los objetivos se les mostrará un sitio web que pretende ser Google Drive. En las pruebas de los analistas de seguridad, este Google Drive falso mostró un extracto bancario o pidió al usuario que descargara el extracto bancario.
Los dominios que se cree que están asociados con esta campaña son:
http://bank.verified-docs.org[.]za/
http://chase.sign-docs.org[.]za/
http://documents.cert-docs.net[.]za/
http://documents.verified-docs[.]com/
https://bank.cert-docs.net[.]za
https://bank.my-sign-docs[.]com
https://bank.sign-documents[.]net.za
https://bank.sign-documents[.]org.za
https://bank.verified-docs[.]net.za
https://bank.verified-docs[.]org.za
https://bank.verified-docs[.]site
https://chase.cert-docs.co[.]za
https://chase.my-sign-docs[.]org
https://chase.sign-docs.net[.]za
https://chase.sign-docs.org[.]za
https://chase.sign-documents.co[.]za
https://chase.sign-documents.org[.]za
https://documents.cert-docs.co[.]za
https://documents.my-sign-docs[.]org
https://documents.sign-docs.co[.]za
https://documents.verified-docs.org[.]za
https://sign-documents.net[.]za/
https://statements.my-sign-docs.net[.]za/
https://statements.sign-docs.co[.]za/
https://statements.sign-documents.co[.]za/
https://statements.sign-documents.net[.]za/
https://statements.sign-documents.org[.]za/
https://statements.verified-docs.org[.]za/
https://verified-docs[.]com/
Si el sitio muestra el extracto bancario, muestra un extracto bancario de muestra de Commerce Bank que utiliza datos de ejemplo, como el nombre del cliente “Jane Customer” en “Anywhere Dr”.
Sin embargo, otras pruebas muestran una página falsa de Google Drive que dice que la vista previa no está disponible y solicita al usuario que descargue el ‘Bank_statement.pdf
‘. No obstante, al hacerlo se descarga un ejecutable llamado ‘bank_statement.scr
‘.
Mientras que los proveedores de antivirus en VirusTotal solo lo detectan como un ladrón de información genérico, Triage de Recorded Future lo detectó como el malware de robo de información de Vidar.
Troyano peligroso
Vidar es un troyano que roba información que puede robar cookies del navegador, el historial del navegador, contraseñas guardadas, billeteras de criptomonedas, archivos de texto, bases de datos Authy 2FA y capturas de pantalla de la pantalla activa de Windows.
Luego, esta información se carga en un servidor remoto para que los atacantes puedan recopilarla. Después de enviar los datos, la colección de archivos se elimina de la máquina infectada, dejando un directorio lleno de carpetas vacías.
Una vez que los atacantes reciben la información robada, venden las credenciales a otros ciberdelincuentes o las usan para vulnerar las cuentas utilizadas por la víctima.
Si recibiste correos electrónicos similares y crees que te viste afectado por esta campaña de distribución de malware, es vital que analices tu computadora en busca de malware de inmediato y elimines todo lo que encuentres.
Para evitar más ataques, debes cambiar tu contraseña en todas tus cuentas, especialmente aquellas asociadas con tus sitios de comercio electrónico, cuentas bancarias y direcciones de correo electrónico.
Finalmente, debes investigar minuciosamente tu sitio de comercio electrónico para verificar si hay código fuente inyectado en plantillas HTML, cuentas nuevas con privilegios elevados o modificaciones al código fuente del sitio.