Pesquisadores de cibersegurança descobriram bibliotecas maliciosas no repositório Python Package Index (PyPI) que foram projetadas para roubar informações sensíveis.
Duas das bibliotecas, bitcoinlibdbfix e bitcoinlib-dev, se passam por correções para problemas recentes detectados em um módulo Python legítimo chamado bitcoinlib, de acordo com a ReversingLabs.
Um terceiro pacote descoberto pela Socket, disgrasya, continha um script de carding totalmente automatizado visando lojas WooCommerce.
Os pacotes atraíram centenas de downloads antes de serem removidos, de acordo com estatísticas do pepy.tech:
- bitcoinlibdbfix - 1.101 downloads
- bitcoinlib-dev - 735 downloads
- disgrasya - 37.217 downloads
"As bibliotecas maliciosas tentam um ataque semelhante, substituindo o legítimo comando 'clw cli' com código malicioso que tenta exfiltrar arquivos de banco de dados sensíveis", disse a ReversingLabs.
Em uma reviravolta interessante, diz-se que os autores das bibliotecas falsificadas se juntaram a uma discussão de issue no GitHub e tentaram, sem sucesso, enganar usuários desavisados para fazer o download do suposto conserto e executar a biblioteca.
Por outro lado, disgrasya foi encontrado abertamente malicioso, sem fazer esforço para esconder sua funcionalidade de roubo de carding e informação de cartão de crédito.
"O payload malicioso foi introduzido na versão 7.36.9, e todas as versões subsequentes carregaram a mesma lógica de ataque embutida", disse a Equipe de Pesquisa da Socket.
Carding, também chamado de estufamento de cartão de crédito, refere-se a uma forma automatizada de fraude de pagamento na qual fraudadores testam uma lista em massa de informações roubadas de cartão de crédito ou débito contra o sistema de processamento de pagamento de um comerciante para verificar detalhes de cartões violados ou roubados.
Isso está sob uma categoria de ataque mais ampla referida como abuso de transação automatizada.
Uma fonte típica para dados de cartão de crédito roubados é um fórum de carding, onde detalhes de cartão de crédito pilhados de vítimas usando vários métodos como phishing, skimming ou malware stealer são anunciados à venda para outros atores de ameaças para promover atividade criminosa.
Uma vez que eles são encontrados ativos (ou seja, não relatados como perdidos, roubados ou desativados), golpistas os usam para comprar cartões-presente ou cartões pré-pagos, que depois são revendidos para lucro.
Atores de ameaças também são conhecidos por testar se os cartões são válidos ao tentar pequenas transações em sites de e-commerce para evitar serem sinalizados por fraude pelos proprietários dos cartões.
O pacote fraudulento identificado pela Socket é projetado para validar informações de cartão de crédito roubadas, visando especialmente comerciantes que usam WooCommerce com CyberSource como gateway de pagamento.
O script alcança isso emulando as ações de uma atividade de compra legítima, procurando programaticamente um produto, adicionando-o a um carrinho, navegando para a página de checkout do WooCommerce e preenchendo o formulário de pagamento com detalhes de cobrança randomizados e os dados do cartão de crédito roubado.
Ao imitar um processo real de checkout, a ideia é testar a validade dos cartões saqueados e exfiltrar os detalhes relevantes, como o número do cartão de crédito, data de validade e CVV, para um servidor externo sob o controle do atacante ("railgunmisaka[.]com") sem atrair a atenção dos sistemas de detecção de fraude.
"Enquanto o nome pode levantar sobrancelhas para falantes nativos ('disgrasya' é gíria filipina para 'desastre' ou 'acidente'), é uma caracterização adequada de um pacote que executa um processo de múltiplas etapas emulando a jornada de um comprador legítimo através de uma loja online para testar cartões de crédito roubados contra sistemas reais de checkout sem acionar a detecção de fraude", disse a Socket.
Ao incorporar esta lógica dentro de um pacote Python publicado no PyPI e baixado mais de 34.000 vezes, o atacante criou uma ferramenta modular que poderia ser facilmente usada em frameworks de automação maiores, tornando disgrasya uma poderosa utilidade de carding disfarçada de uma biblioteca inofensiva.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...