Los piratas informáticos utilizan cada vez más web shells para robar tarjetas de crédito

VISA: Los piratas informáticos utilizan cada vez más web shells para robar tarjetas de crédito.

El procesador de pagos global VISA advierte que las amenazas están implementando cada vez más shells web en servidores comprometidos para exfiltrar información de tarjetas de crédito robadas de los clientes de la tienda en línea.

Los shells web son herramientas (scripts o programas) implementadas por amenazas para obtener y / o mantener el acceso a servidores comprometidos, ejecutar de forma remota códigos o comandos arbitrarios, moverse lateralmente dentro de la red de un objetivo o entregar cargas útiles maliciosas adicionales.

Índice de contenidos()

    Web shells utilizados para extraer información descremada

    Durante el año pasado, VISA ha visto una tendencia creciente de web shells utilizados para inyectar scripts basados ​​en JavaScript conocidos como skimmers de tarjetas de crédito en tiendas en línea pirateadas en ataques de skimming web (también conocido como skimming digital, e-Skimming o Magecart).

    Una vez desplegados, los skimmers les permiten robar el pago y la información personal enviada por los clientes de las tiendas online comprometidas y enviarla a los servidores bajo su control.

    "A lo largo de 2020, Visa Payment Fraud Disruption (PFD) ha identificado una tendencia por la cual muchos ataques de eSkimming han utilizado web shells para establecer el comando y control (C2) durante los ataques", dijo VISA.

    "PFD confirmó al menos 45 ataques de eSkimming en 2020 utilizando shells web, y los investigadores de seguridad han notado de manera similar un aumento en el uso del shell web en el panorama más amplio de amenazas a la seguridad de la información".

    Como descubrió VISA PFD, los agentes de amenazas de Magecart utilizaron los shells web principalmente para piratear los servidores de puertas traseras de las tiendas en línea pirateadas y para crear una infraestructura de comando y control que les permitiera exfiltrar información de tarjetas de crédito robadas.

    Los atacantes utilizaron una variedad de métodos para violar los servidores de la tienda en línea, incluidas las vulnerabilidades en las infraestructuras administrativas no seguras, los complementos de aplicaciones / sitios web relacionados con el comercio electrónico y las plataformas de comercio electrónico desactualizadas / sin parches.

    Los shells web se utilizan cada vez más para servidores de puerta trasera

    En febrero, los hallazgos de VISA fueron confirmados por el equipo de Microsoft Defender Advanced Threat Protection (ATP), que dijo que la cantidad de web shells implementadas en servidores comprometidos casi se duplicó con respecto al año pasado.

    Los investigadores de seguridad de la compañía descubrieron un promedio de 140.000 herramientas maliciosas de este tipo en servidores comprometidos cada mes, entre agosto de 2020 y enero de 2021.

    En comparación, Microsoft dijo en un Informe 2020 que detectó un promedio de 77,000 web shells cada mes, según los datos recopilados de aproximadamente 46,000 dispositivos distintos entre julio y diciembre de 2019.

    Actividad de shell web
    Imagen: Microsoft

    La Agencia de Seguridad Nacional de EE. UU. (NSA) también advirtió en un informe conjunto publicado con la Dirección de Señales de Australia (ASD) en abril de 2020 sobre las amenazas que intensifican sus ataques en servidores de puerta trasera vulnerables mediante la distribución de shells web.

    "Si bien las tácticas, técnicas y procedimientos anteriores no son una lista exhaustiva de los diversos métodos y exploits utilizados por los atacantes en estos ataques de shell web, son solo algunas de las principales metodologías identificadas", agregó VISA.

    "La identificación de tácticas, como el uso de web shells, también ayuda a identificar las compensaciones cuando no se detectan eSkimmers en el sitio web del comerciante.

    "El uso de web shells para facilitar los ataques de eSkimming probablemente persistirá, especialmente porque las restricciones al comercio físico y físico continúan vigentes mientras continúa la pandemia".

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir