Οι ερευνητές ασφαλείας παρατήρησαν ότι ορισμένοι εγκληματίες στον κυβερνοχώρο που επιτίθενται σε online καταστήματα χρησιμοποιούν το Telegram για να εξάγουν τις πληροφορίες από τις πιστωτικές κάρτες πελατών που πραγματοποιούν τις αγορές τους.
Το συγκεκριμένο κόλπο κάνει το data exfiltration πιο αποτελεσματικό και διευκολύνει όλη την διαχείριση της λειτουργίας του card skimming.
Η νέα μέθοδος ανακαλύφθηκε από τον Affable Kraut χρησιμοποιώντας δεδομένα από τη Sansec, μια εταιρεία που ειδικεύεται στην καταπολέμηση του ψηφιακού skimming. Ο ερευνητής ανέλυσε το κακόβουλο JavaScript, το οποίο περιλαμβάνει κοινούς μηχανισμούς anti-analysis.
Σε ένα thread στο Twitter, ο Kraut εξηγεί πώς λειτουργεί το script, σημειώνοντας ότι συλλέγει δεδομένα από οποιονδήποτε τύπο πεδίου εισαγωγής και τα στέλνει σε ένα κανάλι στο Telegram.
Όλες οι πληροφορίες κρυπτογραφούνται χρησιμοποιώντας ένα δημόσιο κλειδί. Στη συνέχεια, ένα “Telegram bot” δημοσιεύει τα κλεμμένα δεδομένα σε μια συνομιλία ως μήνυμα.
Ο Kraut σημειώνει ότι ενώ αυτή η μέθοδος είναι αποτελεσματική για το data exfiltration, μπορεί να γυρίσει boomerang επειδή οποιοσδήποτε διαθέτει το token για το “Telegram bot” μπορεί να αναλάβει τον έλεγχο της διαδικασίας.
Ο Jérôme Segura, διευθυντής του Threat Intelligence στο Malwarebytes, ανέλυσε και αυτός το script λέγοντας ότι ο συγγραφέας του εφάρμοσε απλή κωδικοποίηση Base64 στο bot ID, το κανάλι Telegram και το αίτημα API. Ακολουθεί μια εικόνα που δείχνει πώς λειτουργεί ολόκληρη η διαδικασία.
Ο ερευνητής λέει ότι το data exfiltration ξεκινά μόνο “εάν η τρέχουσα διεύθυνση URL του προγράμματος περιήγησης περιέχει μια λέξη-κλειδί ενδεικτική ενός ιστότοπου αγορών και όταν ο χρήστης επικυρώνει μια αγορά.” Στη συνέχεια, τα στοιχεία πληρωμής θα σταλούν τόσο στον νόμιμο επεξεργαστή πληρωμών όσο και στους εγκληματίες του κυβερνοχώρου.
Σε μια ανάλυση που δημοσιεύτηκε σήμερα, ο Segura επισημαίνει ότι αυτός ο μηχανισμός εξαλείφει την ανάγκη για μια υποδομή data exfiltration, η οποία θα μπορούσε να μπλοκαριστεί από τις λύσεις ασφαλείας ή να καταργηθεί από την επιβολή του νόμου.
Επιπλέον, η προστασία από αυτήν την παραλλαγή skimmer δεν είναι εύκολη. Ο αποκλεισμός των συνδέσεων στο Telegram είναι μια προσωρινή λύση αφού οι εισβολείς θα μπορούσαν να επιλέξουν μια διαφορετική νόμιμη υπηρεσία για να κρύψουν το exfiltration.
Το Telegram έχει χρησιμοποιηθεί στο παρελθόν για την εξαγωγή κλεμμένων δεδομένων. Πέρυσι, η Juniper Networks δημοσίευσε μια έρευνα σχετικά με έναν “κλέφτη πληροφοριών” που ονομάζεται “Masad Clipper and Stealer” που χρησιμοποιούσε την πλατφόρμα για να παραδώσει στους κυβερνοεγκληματίες ευαίσθητα δεδομένα που ήταν αποθηκευμένα στο πρόγραμμα περιήγησης του θύματος (logins, διευθύνσεις, πιστωτικές κάρτες).
Ο Segura λέει ότι το Malwarebytes εντόπισε μερικά διαδικτυακά καταστήματα που έχουν μολυνθεί με αυτήν την παραλλαγή του card skimmer. Ωστόσο, ο ερευνητής πιστεύει ότι αυτά δεν είναι τα μόνα και ότι έχουν μολυνθεί πολύ περισσότερα.
