Um ator ameaçador de língua chinesa que há mais de um ano vem roubando números de cartão de crédito de sites de comércio eletrônico e prestadores de serviços de ponto de venda na região da Ásia/Pacífico, começou a visar alvos semelhantes também na América do Norte e na América Latina.
Numa série de ataques desde pelo menos Maio de 2023, o adversário explorou vulnerabilidades em aplicações Web – incluindo uma vulnerabilidade que o grupo chinês Hafnium utilizou em campanhas de espionagem cibernética – para obter acesso a sites pertencentes a organizações em vários sectores industriais. O objetivo principal desses ataques é obter acesso às páginas de pagamento desses sites e lançar malware para roubar números de cartões pertencentes a pessoas que fazem compras online.
A campanha Silent Skimmer
Pesquisadores da BlackBerry descobriram a campanha e a estão rastreando como “Silent Skimmer”. Em uma postagem no blog esta semana, eles descreveram a campanha como tecnicamente complexa e que pode muito bem envolver um ator de ameaça avançado ou experiente.
Os ataques de skimming de cartas certamente não são novos. Uma coleção solta de grupos de hackers que os pesquisadores têm rastreado como o Magecart há anos, na verdade, tem roubado com sucesso dados de cartões de pagamento pertencentes a centenas de milhões de compradores on-line em todo o mundo. Em muitos desses ataques, os agentes da ameaça visaram vulnerabilidades em componentes e plug-ins de software de terceiros – como contadores de visualização de páginas e widgets de rastreamento de visitantes – e injetaram neles código de skimming de cartão.
Centenas de milhares de sites de comércio eletrônico foram vítimas de ataques Magecart nos últimos anos, incluindo British Airways , Ticketmaster , Newegg e muitos outros.
O operador da campanha Silent Skimmer tem explorado de forma oportunista vulnerabilidades em aplicativos voltados para a Web para obter acesso inicial a sites. Muitos dos sites que o agente da ameaça estava atacando estavam hospedados no software de servidor Web Internet Information Services (IIS) da Microsoft. Uma das vulnerabilidades que o ator da ameaça explorou em sua campanha é o CVE-2019-18935, um bug crítico de execução remota de código na Telerik UI, um conjunto de componentes e ferramentas de desenvolvimento Web da Progress Software. Entre os grupos que usaram o bug em suas campanhas estão o grupo Hafnium da China e o Grupo XE do Vietnã.
Se o serviço Web de destino tiver permissões de gravação habilitadas, a exploração carrega uma biblioteca de link dinâmico (DLL) maliciosa para um diretório específico nele. A DLL então inicia uma sequência de etapas que resulta na instalação de malware para roubo de dados de cartão de crédito e débito no site.
Campanha tecnicamente complexa
Os pesquisadores do BlackBerry observaram o ator da ameaça usando várias ferramentas separadas para escalonamento de privilégios, bem como uma ferramenta de acesso remoto, uma exploração de execução remota de código, um stager/downloader de malware e uma ferramenta para atividades pós-exploração. Como costuma acontecer com as campanhas de malware atualmente, o operador do Silent Skimmer confiou em uma série de ferramentas, binários e scripts legítimos de código aberto em muitos de seus ataques.
Uma indicação de que o agente da ameaça por trás do Silent Skimmer é tecnicamente qualificado é a forma como reajustou a sua infra-estrutura de comando e controlo (C2) com base na geolocalização das vítimas. Para a campanha, o ator da ameaça usou servidores virtuais privados (VPS) – muitas vezes na plataforma Azure da Microsoft – como servidores C2 para alvos recentemente absolvidos. Cada servidor C2 normalmente fica online por menos de uma semana e geralmente está localizado na mesma região ou país da vítima. Para as vítimas canadenses, por exemplo, o BlackBerry descobriu que o autor da ameaça configurou um VPS no Canadá, enquanto para as vítimas dos EUA, os servidores VPS geralmente estavam no mesmo estado da vítima.
O objetivo por trás da tática é garantir que o tráfego de e para os servidores comprometidos se misture com o tráfego normal, disse a BlackBerry.
FONTE: DARKREADING