Redacción 3 abril, 2019
JS-sniffers afectan a miles de sitios Web, según Group-IB

Group-IB, una compañía internacional que se especializa en la prevención de ataques cibernéticos ha emitido un nuevo informe completo sobre el análisis de los sniffers de JavaScript, un tipo de malware diseñado para robar datos de pago de clientes en tiendas en línea.

Los investigadores del Group-IB analizaron 2440 sitios web de comercio electrónico infectados con un total de aproximadamente 1,5 millones de visitantes diarios únicos cuyos datos podrían haber sido comprometidos.

El informe de Group-IB presenta un análisis en profundidad del mercado de redes oscuras de JS-sniffers, su infraestructura completa y los métodos de monetización, que le brindan a sus desarrolladores millones de dólares.

Nuevas amenazas para el mercado del comercio electrónico

El mercado del comercio electrónico está en auge. Una persona rara no compra en línea ahora. De acuerdo con una encuesta del Centro de Investigación Pew entre adultos de EE. UU., Ocho de cada diez estadounidenses son compradores en línea.

Sin embargo, la conveniencia de las compras en línea tiene sus desventajas: los usuarios que usan tarjetas de pago para las compras en línea enfrentan innumerables amenazas cibernéticas, incluidos los rastreadores de JavaScript.

Antes de la publicación del informe del Group-IB «Crimen sin castigo: análisis en profundidad de JS-sniffers«, los investigadores de RiskIQ y Flashpoint fueron los primeros en publicar un informe conjunto sobre las actividades de los delincuentes cibernéticos que usan JS-sniffers.

Dieron el término general MageCart a 12 grupos de ciberdelincuentes

Los expertos del Group-IB estudiaron los detectores de JS descubiertos y, utilizando sus propios sistemas analíticos, pudieron descubrir toda su infraestructura y obtener acceso a sus códigos fuente, paneles administrativos y herramientas de ciberdelincuentes.

Este enfoque ayudó a identificar 38 familias únicas de JS-sniffers, 15 de las cuales se presentan en detalle en el informe, disponible para los clientes de Group-IB Threat Intelligence.

Al menos 8 de ellos fueron descubiertos y descritos por primera vez.

La amenaza planteada por JS-sniffers estuvo largamente bajo el radar de los analistas de malware, quienes la consideraron insignificante e indigna de una investigación en profundidad.

Sin embargo, varios incidentes han demostrado lo contrario, entre ellos: 380,000 víctimas de un rastreador JS que infectó el sitio web y la aplicación móvil de British Airways, el compromiso de los datos de pago de los usuarios de Ticketmaster y el reciente incidente que involucra al sitio web del Reino Unido en el Reino Unido.

El gigante internacional de artículos deportivos Fila, que podría haber llevado al robo de los datos de pago de al menos 5,600 clientes.

«Cuando un sitio web está infectado, todos son víctimas: usuarios finales, sistemas de pago, bancos y compañías que venden sus productos y servicios en línea», dice Dmitry Volkov, Director de Tecnología y Jefe de Inteligencia de Amenazas de Group-IB.

«El hecho de que todavía se sabe poco sobre los incidentes relacionados con los sniffers de JS y los daños que causan indica que este problema no está bien estudiado, lo que permite a los grupos en desarrollo sniffers robar dinero de los compradores en línea, actuar con impunidad y salirse con la suya».

Rastreadores de JavaScript: una «amenaza oculta» que no quieres conocer

 Un JS-sniffer es el equivalente en línea de un skimmer de tarjeta de crédito. Sin embargo, mientras que un skimmer es un pequeño dispositivo instalado en cajeros automáticos que intercepta los datos de las tarjetas bancarias, un JS-sniffer son unas pocas líneas de código que los ciberdelincuentes inyectan en los sitios web para capturar datos ingresados ​​por los usuarios, como números de tarjetas de pago, nombres, direcciones, contraseñas, etc.

En general, los hackers venden los datos de pago obtenidos a los cardadores en los foros de darknet. El precio de una tarjeta robada varía de alrededor de $ 1 a $ 5, ocasionalmente de $ 10 a $ 15. Un número significativo de foros clandestinos en los que los JS-sniffers se ponen a la venta o se alquilan hablan ruso.

Las estimaciones aproximadas sugieren que las ganancias obtenidas por los desarrolladores de JS-sniffer pueden ascender a cientos de miles de dólares por mes. Por ejemplo, los sitios web infectados por la familia de rastreadores de JS de WebRank atraen a alrededor de 250,000 visitantes cada día.

Si la conversión en estos sitios web fuera solo del 1%, esto significaría que 2,500 compradores realizan transacciones todos los días. Esto, a su vez, significa que, en el rango de precio mínimo cobrado por las tarjetas robadas, los desarrolladores de WebRank pueden ganar entre $ 2,500 y $ 12,500 para un «trabajo» de un JS-sniffer, que asciende a $ 75,000 a $ 375,000 por mes.

Sin mencionar que WebRank es solo tercero en el «ranking» de infecciones masivas. Los sitios web infectados por MagentoName y CoffeMokko JS-sniffers atraen a más de 440,000 visitantes por día.

Cómo ataca JS-sniffers

El análisis de 2.440 sitios web infectados del Group-IBreveló que más de la mitad o los recursos fueron atacados por la familia MagentoName JS-sniffer, cuyos operadores explotan vulnerabilidades de versiones anteriores del Magento CMS (Sistema de gestión de contenido) para inyectar código malicioso en los códigos de sitios web potenciados por este CMS. Más del 13% de las infecciones son llevadas a cabo por WebRank JS-snif.

Ofrece a la familia, que ataca a sitios de terceros para inyectar su código malicioso en los sitios web seleccionados. Más de 11% de las infecciones también son causadas por JS-sniffers de la familia CoffeMokko, cuyos operadores usan scripts confusos diseñados para robar información de formas de pago de sistemas de pago, cuyos nombres de campo están incluidos en el código del JS-sniffer.

Dichos sistemas de pago incluyen PayPal, Verisign, Authorize.net, eWAY, Sage Pay, WorldPay, Stripe, USAePay y otros.

Muchas familias de JS-sniffer utilizan una opción única para cada sistema de pago, que requiere modificar y probar el script antes de cada infección.

La mayoría de los JS-sniffers identificados están configurados para robar información de diferentes tipos de formas de pago de sistemas de administración de sitios web como Magento, OpenCart, Shopify, WooCommerce, WordPress.

Dichas familias de JS-sniffer incluyen PreMage, MagentoName, FakeCDN, Qoogle, GetBilling y PostEval. Otros JS-Sniffers son universales y pueden integrarse en el código de cualquier sitio web, independientemente de los sistemas utilizados (G-Analytics, WebRank).

Durante su investigación, el Group-IBdescubrió signos de «competencia»: algunas familias de JS-sniffer podrían detectar y eliminar a los JS-sniffers pertenecientes a competidores que primero inyectaron el sitio web de la víctima (por ejemplo, MagentoName).

Otros usan el «cuerpo» del JS-sniffer del competidor, «se hacen cargo» de los datos que intercepta y los transfieren a su propia puerta (por ejemplo, WebRank). Los JS-sniffers pueden modificarse para que sea más difícil detectarlos.

Por ejemplo, ImageID y ReactGet pueden omitir la mayoría de los sistemas de detección porque se activan solo cuando el comprador está completando su transacción en el sitio web; el resto del tiempo, el rastreador JS está «inactivo» y no se entrega.

Algunas familias tienen una cantidad de olfateadores JS únicos para cada infección, como CoffeMokko.

Cada JS-sniffer en esta familia se usa solo una vez para infectar un solo sitio web

La familia G-Analytics JS-sniffers se distingue porque no solo inyecta código malicioso en el código HTML del sitio web, sino también en los scripts PHP del lado del servidor que manejan los pagos en sitios web de comercio electrónico.

Esta técnica hace que sea mucho más difícil para los analistas detectar el código malicioso. JS-sniffers como ImageID y G-Analytics pueden imitar servicios legítimos como Google Analytics y jQuery y disfrazar su actividad maliciosa con scripts legítimos y nombres de dominio que son similares a los legítimos.

Los ataques que involucran a JS-sniffers pueden tener varias etapas. Al analizar el código de una de las tiendas en línea infectadas, los especialistas del Group-IBdescubrieron que los ciberdelincuentes no se habían limitado a inyectar el JS-sniffer, sino que crearon un formulario de pago falso que se cargó desde un sitio web comprometido diferente.

El formulario dio a los usuarios dos opciones de pago: con tarjeta de crédito o PayPal. Si el usuario elige pagar a través de PayPal, el formulario falso mostrará un mensaje de error que indica que este método de pago no estaba disponible en ese momento y que la única forma de pago era usar una tarjeta de crédito.

Clientes y compradores: cómo funciona el mercado JS-sniffer

El desarrollo del mercado JS-sniffer ha llevado a que las relaciones entre sus jugadores se vuelvan cada vez más complicadas. JS-Sniffer puede ser usado no solo por el grupo de delincuentes cibernéticos que lo desarrolló, sino también por otros grupos que han comprado o alquilado el JS-sniffer como un servicio.

En algunos casos, es difícil determinar cuántos grupos de ciberdelincuentes utilizan un determinado JS-sniffer, por lo que los expertos del Group-IBlos llaman familias, no grupos.

El costo de JS-sniffers oscila entre $ 250 y $ 5,000 en foros clandestinos.

Algunos servicios ofrecen asociaciones: el cliente proporciona acceso a la tienda en línea comprometida y recibe una parte de las ganancias, mientras que el desarrollador de JS-sniffer es responsable de proporcionar servidores de alojamiento, soporte técnico y un panel administrativo para el cliente.

Dichas «relaciones de mercado» entre desarrolladores, vendedores, intermediarios y compradores en el mercado clandestino hacen que sea difícil atribuir el crimen cometido a un grupo en particular. Sin embargo, los indicadores recopilados por el Group-IB vinculados a las actividades de cada una de las 38 familias de JS-sniffer ayudan a resolver este problema.

Además, el informe de Group-IB contiene recomendaciones detalladas para todas las partes que pueden ser víctimas de los sniffers de JS: compradores, bancos, tiendas en línea y sistemas de pago. La investigación continúa. Las descripciones de los rastreadores de JS analizados y la nueva información sobre ellos se cargan regularmente en el sistema de inteligencia de amenazas del Group-IB.

 

 

Por Marcelo Lozano – General Publisher IT Connect Latam