Una campaña de skimmer web, denominada Silent Skimmer, ha estado operando durante más de un año, dirigida a empresas de pagos en línea en Asia Pacífico, América del Norte y América Latina.
Los operadores de la campaña explotan vulnerabilidades en aplicaciones web, especialmente aquellas alojadas en Internet Information Services (IIS), para comprometer la página de pago y robar datos de pago confidenciales.
Después de un punto de apoyo inicial exitoso, los atacantes utilizan múltiples herramientas de código abierto y técnicas de vida de la tierra para la escalada de privilegios y la ejecución de código.
Se implementa un troyano de acceso remoto basado en PowerShell que permite controlar remotamente el host. Este troyano se conecta a un servidor remoto que alberga utilidades adicionales, incluyendo descargas de scripts y servidores proxy inversos.
El objetivo final es infiltrarse en el servidor web y colocar un raspador en el servicio de pago para capturar información financiera ingresada por las víctimas de forma sigilosa.
Los servidores privados virtuales (VPS) utilizados para el comando y control (C2) se eligen en función de la geolocalización de las víctimas para evadir la detección.
Esta campaña parece ser oportunista y se enfoca en sitios web regionales que recopilan datos de pago, aprovechando las vulnerabilidades en tecnologías comúnmente utilizadas para obtener acceso no autorizado y recuperar información de pago sensible.
Fuente: BlackBerry Security Research Team.
Un «skimmer» es un dispositivo diseñado para robar información de tarjetas de crédito o débito. Por lo general, se coloca en cajeros automáticos, terminales de pago o dispositivos similares. Los skimmers pueden leer y almacenar la información de la banda magnética de las tarjetas, lo que luego se utiliza para realizar transacciones no autorizadas.
Los pagos en línea ofrecen conveniencia, pero conllevan riesgos como el robo de datos, phishing, malware y vulnerabilidades en sitios web. La seguridad puede verse comprometida, lo que podría resultar en la pérdida de información financiera o personal. Es crucial utilizar medidas de seguridad, como sitios seguros, autenticación de dos factores y precaución contra el phishing, para mitigar estos riesgos.
