VISA: Hackers utilizan cada vez más web shells para robar tarjetas de crédito

  • 0 Respuestas
  • 587 Vistas

0 Usuarios y 2 Visitantes están viendo este tema.

Desconectado AXCESS

  • *
  • Moderador Global
  • Mensajes: 1151
  • Actividad:
    100%
  • Country: 00
  • Reputación 21
    • Ver Perfil
    • Email



El procesador de pagos global VISA advierte que los actores de amenazas están implementando cada vez más web shells en servidores comprometidos para exfiltrar la información de tarjetas de crédito robada de los clientes de la tienda en línea.

Los web shells son herramientas (scripts o programas) implementadas por los actores de amenazas para obtener y / o mantener el acceso a servidores pirateados, ejecutar de forma remota códigos o comandos arbitrarios, moverse lateralmente dentro de la red de un objetivo o entregar cargas útiles maliciosas adicionales.

Web shells utilizadas para exfiltrar información

A lo largo del último año, VISA ha visto una tendencia creciente de uso de web shells para inyectar scripts basados en JavaScript conocidos como skimmers de tarjetas de crédito en tiendas en línea pirateadas, en ataques “web skimming” (también conocido como skimming digital, e-Skimming o Magecart).

Una vez implementados, los skimmers les permiten robar el pago y la información personal enviada por los clientes de las tiendas en línea comprometidas y enviarla a los servidores bajo su control.

"A lo largo de 2020, Visa Payment Fraud Disruption (PFD) identificó una tendencia por la cual muchos ataques de eSkimming usaban web shells para establecer un comando y control (C2) durante los ataques", dijo VISA.

"PFD confirmó al menos 45 ataques de eSkimming en 2020 utilizando web shells, y los investigadores de seguridad notaron de manera similar un aumento en el uso de web shell en todo el panorama de amenazas de seguridad de la información".

Como descubrió VISA PFD, los agentes de amenazas de Magecart utilizaban principalmente los web shells para piratear servidores de tiendas en línea y configurar una infraestructura de comando y control que les permitía exfiltrar la información de la tarjeta de crédito robada.

Los atacantes utilizaron múltiples métodos para violar los servidores de las tiendas en línea, incluidas las vulnerabilidades en la infraestructura administrativa no segura, los complementos de aplicaciones / sitios web relacionados con el comercio electrónico y las plataformas de comercio electrónico desactualizadas / sin parches.

Los web shells se utilizan cada vez más para servidores backdoor

En febrero, los hallazgos de VISA fueron confirmados por el equipo de Microsoft Defender Advanced Threat Protection (ATP), quien dijo que la cantidad de web shells implementadas en servidores comprometidos casi se ha duplicado desde el año pasado.

Los investigadores de seguridad de la compañía descubrieron un promedio de 140.000 herramientas maliciosas de este tipo en servidores pirateados cada mes, entre agosto de 2020 y enero de 2021.

En comparación, Microsoft dijo en un informe de 2020 que detectó un promedio de 77,000 web shells cada mes, según los datos recopilados de aproximadamente 46,000 dispositivos distintos entre julio y diciembre de 2019.

La Agencia de Seguridad Nacional de EE. UU. (NSA) también advirtió, en un informe conjunto emitido con la Dirección de Señales de Australia (ASD) en abril de 2020, sobre los actores de amenazas que intensifican sus ataques a servidores vulnerables de puerta trasera mediante el despliegue de web shells.

"Si bien las tácticas, técnicas y procedimientos anteriores no son una lista exhaustiva de los diversos métodos y exploits que los atacantes utilizaron en estos ataques de web shells, son algunas de las principales metodologías identificadas", agregó VISA.

"Identificar tácticas, como el uso de web shells, también ayuda a identificar compromisos cuando no se detectan eSkimmers en el sitio web del comerciante".

"El uso de web shells para facilitar los ataques de eSkimming probablemente persistirá, especialmente debido a que las restricciones sobre el comercio físico y en persona permanecen en su lugar a medida que continúa la pandemia".

Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/visa-hackers-increasingly-using-web-shells-to-steal-credit-cards/