Visa advierte sobre un nuevo y sofisticado skimmer llamado Baka
Visa emitió una advertencia sobre un nuevo skimmer de comercio electrónico de JavaScript conocido como Baka. El sofisticado skimmer se autoelimina de la memoria después de filtrar los datos robados.
El script de robo de tarjetas de crédito fue descubierto por investigadores con la iniciativa Payment Fraud Disruption (PFD) de Visa en febrero de 2020. Lo descubrieron mientras examinaban un servidor de comando y control (C2) que anteriormente alojaba un kit de skimming web llamado ImageID.
El año pasado, Visa descubrió otro skimmer web de JavaScript conocido como Pipka. Pipka se extendió rápidamente a las tiendas en línea de “al menos dieciséis sitios web de comercio electrónico adicionales”. Esto después de ser visto inicialmente en el sitio de comercio electrónico de organizaciones norteamericanas en septiembre de 2019.
Evade la detección y el análisis
El skimmer tiene las funciones básicas de skimming como los campos de formulario de destino configurables y la exfiltración de datos mediante solicitudes de imágenes, Asimismo, Baka presenta un diseño avanzado que indica que es el trabajo de un desarrollador de malware calificado. Esto porque también viene con un método de ofuscación y un cargador único.
“El skimmer se carga dinámicamente para evitar los escáneres de malware estáticos. También utiliza parámetros de cifrado únicos para cada víctima para ofuscar el código malicioso”.
Extracto de la alerta de Visa
“PFD evalúa que esta variante de skimmer evade la detección y el análisis al eliminarse de la memoria. Se elimina cuando detecta la posibilidad de un análisis dinámico con herramientas de desarrollo o cuando los datos se han exfiltrado con éxito”.
Visa detectó Baka en varias tiendas en línea de varios países y lo observaron mientras se inyectaba en tiendas de comercio electrónico comprometidas. Se insertaba desde los dominios: jquery-cycle[.]com, b-metric[.]com, apienclave[.]com, quicdn[.]com, apisquere[.]com, ordercheck[.]online, and pridecdn[.]com domains.
Camuflado como código de la página
El skimmer se está agregando a las páginas de pago de los comerciantes mediante una etiqueta de script. Su cargador descarga el código de skimming del servidor C2 y lo ejecuta en la memoria.
Esto permite a los atacantes asegurarse de que no se encuentre el código de lectura utilizado para recolectar los datos de los clientes. Estas acciones ocurren mientras se analizan los archivos alojados en el servidor del comerciante o en la computadora del cliente.
“El payload de skimming se descifra a JavaScript. Está escrito para parecerse al código que se usaría para representar las páginas de forma dinámica”, explicó Visa.
“El mismo método de cifrado que se ve con el cargador se utiliza para el payload. Una vez ejecutado, el skimmer captura los datos de pago del formulario de pago“.
Baka es también el primer malware de skimming de JavaScript detectado por Visa en utilizar un cifrado XOR. Usa este cifrado para ofuscar el código de skimming descargado del C2 y cualquier valor codificado.
Mejores prácticas
Visa recomienda a las instituciones financieras miembros, comerciantes en línea, proveedores de servicios, proveedores externos, revendedores de integradores que consulten su documento. El documento muestra qué hacer si se ve comprometidos (WTDIC), ahí pueden obtener orientación si sus sistemas de pago se ven afectados.
La compañía también compartió la lista de mejores prácticas para proteger las plataformas de comercio electrónico. Esto tal como se describe en el PCI Security Standards Council.
Además, Visa proporciona la siguiente lista de acciones de mitigación. Estas acciones deberían evitar que los actores de amenazas comprometan las tiendas en línea para implementar scripts de skimming basados en JavaScript:
Acciones de mitigación
- Debes Instituir controles recurrentes en entornos de comercio electrónico para las comunicaciones con los C2.
- Tienes que garantizar la familiaridad y la vigilancia con el código integrado en entornos de comercio electrónico a través de proveedores de servicios.
- Debes vigilar de cerca las redes de distribución de contenido (CDN) y otros recursos de terceros.
- Tienes que escanear y probar periódicamente los sitios de comercio electrónico en busca de vulnerabilidades o malware. Debes contratar a un profesional o proveedor de servicios de confianza con una reputación de seguridad para proteger el entorno de comercio electrónico. Se deben hacer preguntas y requerir un informe completo. Puedes confiar, pero debes verificar las gestiones realizadas por la empresa que contratas.
- Asegúrate de que el carrito de compra, otros servicios y todo el software se actualicen. También se deben aplicar parches a las últimas versiones para mantener alejados a los atacantes. Hay que configurar un firewall de aplicaciones web para bloquear el acceso al sitio web de solicitudes sospechosas y maliciosas. Hay opciones que son gratuitas, fáciles de usar y prácticas para los pequeños comerciantes.
- Debes limitar el acceso al portal administrativo y las cuentas a quienes los necesiten.
- Tienes que exigir contraseñas administrativas seguras (utilizar un administrador de contraseñas para obtener mejores resultados) y habilitar la autenticación de dos factores.
- Debes considerar utilizar una solución de pago totalmente alojada en la que los clientes ingresen sus detalles de pago en otra página web alojada por esa solución de pago. Esta debe estar separada del sitio del comerciante. Esta es la forma más segura de proteger al comerciante y a tus clientes del malware de skimming de comercio electrónico.