0
0
O grupo de skimming de cartão de crédito Fullz House comprometeu o site da operadora de rede virtual móvel dos EUA (MVNO) Boom! Móvel.
O grupo de skimming de cartão de crédito Fullz House comprometeu o site da operadora de rede virtual móvel dos EUA (MVNO) Boom! Móvel em um ataque clássico de MageCart.
Boom, boom! A Mobile oferece planos de serviço sem fio sem contrato pós-pagos e pré-pagos para seus clientes que lhes permitem usar as linhas das maiores redes celulares do país, incluindo AT&T, T-Mobile e Verizon.
Os hackers da Fullz House injetaram um e-skimmer no site e, infelizmente, o software malicioso ainda não foi removido.
O e-skimmer foi detectado pela primeira vez por pesquisadores da Equipe de Inteligência de Ameaças do Malwarebytes, os pesquisadores notaram uma única linha de código que é usada para carregar uma biblioteca JavaScript externa do paypal-débito[.] com/cdn/ga.js.
“Nossos rastreadores detectaram recentemente que seu site, boom[.] nós, tinha sido injetado com um one-liner que contém uma URL codificada base64 carregando uma biblioteca JavaScript externa.” lê a análise publicada pelo Malwarebytes. “Uma vez decodificado, a URL carrega um script falso do Google Analytics a partir do débito paypal[.] com/cdn/ga.js. Reconhecemos rapidamente esse código como um skimmer de cartão de crédito que verifica campos de entrada e, em seguida, exfiltra os dados para os criminosos.”
O software malicioso coleta informações de cartão de pagamento fornecidas pelos usuários e, em seguida, exfiltra os dados colhidos como uma solicitação GET codificada pela Base64.
Os pesquisadores acreditam que o grupo Fullz House Magecart comprometeu o site da Boom explorando uma vulnerabilidade na versão PHP 5.6.40 usada pela empresa, que não é mais suportada desde janeiro de 2019.
Os peritos tentaram relatar o compromisso com Boom! Móvel sem sucesso.
O grupo Fullz House foi visto pela primeira vez por especialistas em segurança na RiskIQ em novembro de 2019, quando estava usando phishing e skimming na web para seus ataques. Desde agosto a setembro de 2019, o grupo começou a usar uma técnica híbrida que aproveita os ataques miTM e phishing para sites de destino usando processadores de pagamento externos.
Grupos de hackers sob o guarda-chuva Magecart continuam a ser alvo para roubar dados de cartões de pagamento com os chamados skimmers de software. As empresas de segurança têm monitorado as atividades de uma dúzia de grupos pelo menos desde 2010.
De acordo com um relatório conjunto publicado pela RiskIQ e FlashPoint em 2019, alguns grupos são mais avançados do que outros, em particular, a gangue rastreada como o Grupo 4 parece ser muito sofisticada.
Os pesquisadores do MalwareBytes também compartilharam indicadores de compromisso para este ataque em sua análise.
FONTE: SECURITY AFFAIRS