TLP: Amber
NIVEL DE RIESGO – [Alto]
Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Páginas Web de pago.
Impacto: Robo financiero.

Descripción

De acuerdo con un análisis realizado por una firma de seguridad, se identificó un nuevo Skimmer digital denominado “Baka” en un servidor comando y control (C&C) donde estaba alojado una variante del programa malicioso conocido como “imageID”, skimmer que utiliza JavaScript para obtener datos bancarios de páginas Web comprometidas.

Baka fue identificado por primera vez en febrero de este año, y ha afectado a diversos sitios Web en todo el mundo. Además de realizar tareas habituales como robo de información de los campos de formularios como la mayoría de los skimmers digitales, Baka tiene la capacidad de auto eliminarse después de robar los datos o bien de usar una carga dinámica para evitar ser detectado por escáneres de virus estáticos.

Según los expertos, Baka es un nuevo skimmer con un diseño sofisticado donde el desarrollador utiliza el cifrado XOR, sin embargo, hace uso de parámetros únicos para cada víctima y así poder ocultar el código malicioso.

El principal objetivo de Baka es capturar y robar información de datos de pago utilizados en diversos sitios Web, como números de tarjetas, nombres de usuarios, direcciones, credenciales de acceso y códigos de verificación.

Nivel de riesgo

  • [Alto]

Sistemas/tecnologías afectadas:

  • Páginas Web de pago electrónico.

Medidas de erradicación

A continuación, se listan los IoCs identificados hasta el momento, relacionados con el programa malicioso reportado en esta alerta:

  • Dominios:
    • jquery-cycle[.]com
    • b-metric[.]com
    • apienclave[.]com
    • quicdn[.]com
    • apisquere[.]com
    • ordercheck[.]online
    • pridecdn[.]com

Medidas de contención

  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Considerar el uso de una solución de pago complementaria alojada y separada del sitio principal de comercio electrónico.
  • Utilizar herramientas o extensiones de navegador que permitan la detección de código fraudulento en los navegadores.
  • Realizar pruebas de penetración en los sitios Web de comercio electrónico de manera periódica.
  • No almacenar datos de las tarjetas de crédito en los navegadores Web.
  • Mantener actualizadas las herramientas de antimalware.

Referencias