数字信用卡撇屏横向景观一直不断发展,通常借用其他恶意软件作者使用的技术,以避免检测。

作为捍卫者,我们寻找任何类型的文物和恶意基础设施,我们可以识别保护我们的用户和警报受影响的商家。这些恶意文物可以从受损存储器到恶意JavaScript,域和用于托管撇渣器和exfiltrate数据的IP地址。

一个这样的工件是所谓的“门”,其通常是域或IP地址,其中被盗客户数据被网络犯罪分子收集。通常,我们看到威胁演员,要么站在自己的大门基础架构或使用受损资源。

然而,也有一些变体涉及滥用合法程序和服务,从而混入正常流量。在这篇博客中,我们来看看最新的网络浏览技巧,它包括通过流行的即时消息平台Telegram发送偷来的信用卡数据。

另一种正常的购物体验

我们看到大量电子商务网站受到攻击,要么是通过一个常见的漏洞,要么是被窃取的证书。不知情的消费者可能会访问被网络浏览器攻击的商家,并在不知情的情况下将自己的信用卡数据交给犯罪分子。

略读者无缝地将自己插入到购物体验中,只有那些对细节有敏锐眼光的人或拥有适当网络工具的人可能会注意到一些不对劲的地方。

图1:使用Telegram bot的信用卡扫描器

skimmer将活跃在支付页面,并偷偷窃取客户输入的个人和银行信息。简单地说,姓名、地址、信用卡号码、有效期和CVV等信息将通过发送到私人Telegram通道的即时消息泄露。

电报基撇渣器

Telegram是一种流行的、合法的即时消息服务,提供端到端加密。许多网络罪犯在日常通信中使用它,但也在恶意软件中发现了自动任务。

攻击者在例如通过传统的特洛伊木马之前使用电报以抵抗数据,例如Masad偷窃者.然而,安全研究人员@affablekraut.分享了在电线电报中使用的信用卡撇渣器的第一个公开文件的实例推特线程

Skimmer代码与传统保持在它检查通常的Web调试器,以防止分析。它还查找兴趣领域,例如计费,付款,信用卡号,到期和CVV。

图2:撇渣器代码的第一部分

新颖性是存在电报代码以抵抗被盗数据。Skimmer的作者编码了机器人ID和频道,以及用简单的Base64编码的电报API请求,以防止窥探眼睛。

图3:包含电报API的撇码代码

只有当浏览器的当前URL包含一个购物站点的关键字以及用户验证购买时,才会触发exfiltration。此时,浏览器将向合法支付处理器和网络犯罪分子发送付款详细信息。

图4:信用卡数据被窃取和窃取的购买

欺诈数据交换是通过Telegram的API进行的,该API将支付细节发布到一个聊天频道。这些数据之前被加密,使身份识别更加困难。

对于威胁行动者来说,这种数据泄露机制是有效的,不需要他们保持可能被防御者关闭或阻止的基础设施。他们甚至可以收到每个新受害者的实时通知,帮助他们迅速在地下市场将被盗的卡货币化。

网络保护挑战

由于它依赖于合法的通信服务,防止这种掠夺攻击的变种措施更加棘手。一个人可以显然阻止在网络级别的电报的所有连接,但攻击者可以轻松切换到另一个提供商或平台(因为它们做过的),却仍然逍遥法外。

必威平台APP伪安全浏览器警卫将识别并阻止这种特定的skimming攻击,而不会禁用或干扰Telegram或其API的使用。到目前为止,我们只发现了几家在线商店受到了这种变体的影响,但可能还有更多。

图5:Malware必威平台APPbytes阻止了这种撇击攻击

一如既往,我们需要调整我们的工具和方法,以跟上针对电子商务平台的金融动机攻击。在线商家在阻止这一犯罪行为和维护客户基础的信任方面也发挥了巨大作用。通过积极主动和保持警惕,安全研究人员和电子商务供应商可以共同努力,击败阻碍合法业务的网络犯罪分子。