Los rastreadores de tarjetas de crédito o skimmers en línea son un tipo de software dañino que los ciberdelincuentes suelen crear utilizando el lenguaje de programación JavaScript.
Los actores de amenazas utilizan principalmente esto para robar datos de tarjetas de pago y PII de personas desprevenidas mientras realizan transacciones en comercio electrónico pirateado o sitios comerciales.
Recientemente, el analista de ciberseguridad de Cybel descubrió el sniffer R3NIN, que se ha descrito como una amenaza en evolución para los consumidores de comercio electrónico.
Secuencia de trabajo de Sniffer
En el caso de que un sitio web sea pirateado, los atacantes pueden implantar un script malicioso codificado en el servidor web, diseñado para activarse cuando un usuario objetivo accede a la página web dañada.
Tras la ejecución, el script antes mencionado lleva a cabo la tarea de recopilar las variables de entrada de la víctima y luego convertirlas en una cadena. Esta cadena compilada luego se envía a un panel rastreador mantenido por el atacante para su posterior análisis y explotación.
El atacante también puede aprovechar iFrame como parte de su estrategia, presentando al usuario objetivo una ventana emergente falsa que solicita datos adicionales que normalmente no se requieren en una página web genuina.
Este truco se emplea para engañar a la víctima para que divulgue información más confidencial, que posteriormente el atacante recopila y explota. Luego, la información de la víctima se procesa en un formato comercializado una vez que se ha extraído con éxito de un sitio web comprometido.
Malware rastreador
Los ciberdelincuentes que buscan perpetrar fraudes con tarjetas de crédito pueden encontrar muy útil el kit de herramientas y el panel R3NIN Sniffer.
Esta herramienta está fácilmente disponible y se puede obtener de un conocido foro de delitos cibernéticos en idioma ruso, siendo el proveedor el mismo actor de amenazas que opera bajo el alias "r3nin".
A continuación, mencionamos las características notables de este sniffer: -
- Se pueden generar códigos JavaScript personalizados para inyección
- Exfiltración entre navegadores de datos de tarjetas de pago comprometidos
- Administrar datos exfiltrados
- Comprobar BIN
- analizar datos
- Generar estadísticas
Inicialmente, el kit de herramientas de sniffer estuvo disponible por un tiempo limitado a una tarifa introductoria de $1500. Sin embargo, el modelo de precios para este conjunto de herramientas se ha revisado desde entonces, y las partes interesadas ahora pueden esperar pagar entre $3000 y $4500 para acceder a esta herramienta.
El desarrollador de este sniffer ha lanzado dos versiones con varias mejoras y nuevas funcionalidades:-
- La versión 1.1 se presenta el 13 de enero de 2023.
- La versión 1.2 se presenta el 15 de enero de 2023.
Tipos de datos extraídos
A continuación, mencionamos los tipos de datos que se extraen:
- Fecha de caducidad
- Nombre
- Dirección
- Ciudad
- Estado
- Código PIN
- País
- Correo electrónico
- Teléfono
- Sitio
Objeto y ejecución remota
Para llevar a cabo su esquema ilícito, los ciberdelincuentes implantan un script malicioso autónomo directamente en un sitio de comercio de pago que ha sido comprometido con éxito.
Este script permanecerá en el sitio, listo para activarse y ejecutarse en el momento en que un usuario desprevenido visite el sitio web. Una vez que se accede a la página de pago comprometida, el script malicioso incrustado en ella comienza a funcionar.
Su objetivo principal es extraer e interceptar todas las entradas de datos ingresadas por la víctima en la página. El script luego procederá a transmitir esta información al panel rastreador preconfigurado.
Cuando una víctima accede a un sitio web comercial comprometido, se activa un script condicional creado por el panel del rastreador. Este script está diseñado para activar el script malicioso ofuscado, que se almacena en un servidor remoto.
Como parte de sus operaciones, el script malicioso se agrega temporalmente a la sesión de la víctima en el sitio web del comerciante comprometido. Una vez incrustado, se activa para monitorear e interceptar todas las entradas de datos realizadas por la víctima en el sitio web.
Estos datos recopilados luego se transmiten al panel del rastreador para su posterior procesamiento y explotación. Los servidores remotos utilizados en este esquema se han configurado para mostrar una pantalla en blanco cuando se accede a ellos.
Sin embargo, si se accede desde una fuente externa, el servidor redirigirá automáticamente a una página web diferente previamente configurada. Esta función de página en blanco ha sido denominada "pantalla en blanco" por su desarrollador ;D
Para ayudar a prevenir el acceso no autorizado y el compromiso de los sistemas de pago, se recomienda encarecidamente a los encargados de comercio electrónico que realicen auditorías periódicas y exhaustivas tanto de sus páginas de pago como de los servidores que se comunican con las pasarelas de pago.