Los investigadores de ciberseguridad han arrojado luz sobre una nueva campaña de skimmer digital que aprovecha las técnicas de ofuscación Unicode para ocultar un skimmer denominado Mongolian Skimmer.
“A primera vista, lo que destacó fue la confusión del guión, que parecía un poco extraño debido a todos los personajes con acento”, dijeron los investigadores de Jscrambler en un análisis. “El uso intensivo de caracteres Unicode, muchos de ellos invisibles, hace que el código sea muy difícil de leer para los humanos”.
Se ha descubierto que el script, en esencia, aprovecha la capacidad de JavaScript para utilizar cualquier carácter Unicode en identificadores para ocultar la funcionalidad maliciosa.
El objetivo final del malware es robar datos confidenciales ingresados en las páginas de administración o de pago del comercio electrónico, incluida información financiera, que luego se filtran a un servidor controlado por un atacante.
El skimmer, que normalmente se manifiesta en forma de un script en línea en sitios comprometidos que recupera la carga útil real de un servidor externo, también intenta evadir los esfuerzos de análisis y depuración desactivando ciertas funciones cuando se abren las herramientas de desarrollo de un navegador web.
“El skimmer utiliza técnicas bien conocidas para garantizar la compatibilidad entre diferentes navegadores mediante el empleo de técnicas de manejo de eventos tanto modernas como heredadas”, dijo Pedro Fortuna de Jscrambler. “Esto garantiza que puede dirigirse a una amplia gama de usuarios, independientemente de la versión de su navegador”.
La compañía de cumplimiento y protección del lado del cliente dijo que también observó lo que describió como una variante del cargador “inusual” que carga el script skimmer sólo en casos donde se detectan eventos de interacción del usuario como desplazamiento, movimientos del mouse e inicio táctil.
Esta técnica, añadió, podría servir como una medida eficaz contra los robots y como una forma de garantizar que la carga del skimmer no provoque cuellos de botella en el rendimiento.
También se dice que uno de los sitios de Magento comprometidos para entregar el skimmer mongol fue atacado por un actor de skimmer separado, y los dos grupos de actividades aprovechan los comentarios del código fuente para interactuar entre sí y dividir las ganancias.
“¿50/50 tal vez?”, comentó uno de los actores de la amenaza el 24 de septiembre de 2024. Tres días después, el otro grupo respondió: “Estoy de acuerdo 50/50, puedes agregar tu código :)”.
Luego, el 30 de septiembre, el primer actor de amenazas respondió diciendo: “Está bien, entonces, ¿cómo puedo comunicarme con usted? ¿Tiene cuenta sobre exploit? (sic)”, probablemente refiriéndose al foro sobre cibercrimen Exploit.
Actualmente no se sabe cómo se entrega el malware skimmer a los sitios web de destino, aunque se cree que los atacantes están apuntando a instancias de Magento u Opencart mal configuradas o vulnerables.
“Tenemos múltiples sitios web víctimas, que podrían haber sido violados utilizando diferentes métodos”, dijo Fortuna a The Hacker News. “No sabemos exactamente cómo llegaron allí y pudieron inyectar el web skimmer, pero todos los signos apuntan a instancias comprometidas de Magento u Opencart, ya sea porque estaban mal configuradas o porque tenían componentes vulnerables que los atacantes aprovecharon para ingresar. “.
“Las técnicas de ofuscación encontradas en este skimmer pueden haber parecido al ojo inexperto un nuevo método de ofuscación, pero ese no fue el caso”, señaló Fortuna. “Utilizó técnicas antiguas para parecer más confuso, pero son igualmente fáciles de revertir”.