Uma campanha motivada financeiramente tem como alvo empresas de pagamento online na Ásia-Pacífico, América do Norte e América Latina, com skimmers da web há mais de um ano.
A Equipe de Pesquisa e Inteligência da BlackBerry está monitorando a atividade sob o nome Silent Skimmer, atribuindo-a a um ator que tem conhecimento da língua chinesa.
As vítimas proeminentes incluem empresas online e provedores de serviços de ponto de venda (PoS).
"Os operadores da campanha exploram vulnerabilidades em aplicativos da web, especialmente aqueles hospedados nos Serviços de Informações da Internet (IIS)", disse a empresa de segurança cibernética canadense.
"Seu objetivo principal é comprometer a página de checkout de pagamento e roubar os dados de pagamento sensíveis dos visitantes".
Uma obtenção inicial bem-sucedida é seguida pelos atores de ameaças que utilizam várias ferramentas de código aberto e técnicas de viver da terra (LotL) para escalonamento de privilégios, pós-exploração e execução de códigos.
A cadeia de ataque leva ao estratégia de instalação de um trojan de acesso remoto baseado em PowerShell (server.ps1) que permite o controle remoto do hospedeiro, que, por sua vez, se conecta a um servidor remoto que hospeda utilitários adicionais, incluindo scripts de download, proxies reversos e balizadores Cobalt Strike.
O objetivo final da intrusão, segundo a BlackBerry, é infiltrar-se no servidor web e inserir um scraper no serviço de checkout de pagamento por meio de uma web shell e capturar furtivamente as informações financeiras inseridas pelas vítimas na página.
Um exame da infraestrutura do adversário revela que os servidores privados virtuais (VPS) utilizados para comando e controle (C2) são escolhidos com base na geolocalização das vítimas para evitar a detecção.
A diversidade de setores e regiões visadas, aliada ao tipo de servidores invadidos, aponta para uma campanha oportunista em vez de uma abordagem deliberada.
"O invasor concentra-se predominantemente em sites regionais que coletam dados de pagamento, aproveitando as vulnerabilidades em tecnologias comumente utilizadas para obter acesso não autorizado e recuperar informações de pagamento sensíveis inseridas ou armazenadas no site", disse a BlackBerry.
A divulgação ocorre enquanto a Sophos divulgou detalhes de um golpe de abate de porcos em que os possíveis alvos são atraídos a investir em esquemas falsos de investimento em criptomoedas depois de serem abordados em aplicativos de namoro, como o MeetMe, resultando em milhões em lucros ilícitos para os atores.
O que diferencia a operação mais recente é o uso de iscas de mineração de liquidez, prometendo aos usuários renda regular a altas taxas de retorno por investimento em um pool de liquidez, onde os ativos virtuais são estacionados para facilitar as negociações nas exchanges descentralizadas.
"Esses golpes não requerem malware no dispositivo do alvo e nenhum 'hack' de qualquer tipo, exceto sites fraudulentos e engenharia social - convencer as vítimas a conectar sua carteira a um contrato inteligente Ethereum que dá aos golpistas permissão para esvaziar a carteira", disse o pesquisador de segurança Sean Gallagher.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...