Si hay un tipo de malware especialmente peligroso en las circunstancias actuales, sin duda hablamos del skimmer, quizá compartiendo podio con el phishing. Porque, claro, una de las consecuencias de la pandemia, con el confinamiento y el cierre de gran parte del comercio minorista, las ventas a través de Internet han suplido, para muchos consumidores, la visita a tiendas y comercios que han permanecido, o incluso permanecen todavía en algunos casos, con las puertas cerradas.
Así, dadas estas circunstancias, tiene todo el sentido pensar que los ciberdelincuentes han decidido centrar parte de sus esfuerzos en diseñar nuevos skimmers, así como en mejorar los ya existentes. Y en esa dirección señala esta publicación de RapidSpike, que ha detectado la presencia de un patógeno de este tipo en la web de Greenworks, una tienda online de productos y maquinaria para jardinería con presencia en algunos países europeos y en Estados Unidos.
Se trata, al parecer, de un skimmer que podría tener detrás al peligroso grupo Magecart, una organización delictiva especializada en este tipo de ataques, y que parece haber incrementado su volumen de actividad los últimos meses. Y, lo que es peor, según podemos comprobar en sus últimos ataques, cuentan con un buen equipo de I+D, puesto que se aprecia una constante evolución en las herramientas que emplean para conseguir infiltrarse en las páginas web con funciones de comercio electrónico, para de este modo robar los datos de los medios de pago de sus usuarios.
En este caso hablamos de un skimmer con ciertas propiedades que llaman la atención de los investigadores. El primero es que, a diferencia de otros que se activan automáticamente al cargarse la página en la que van a capturar los datos, éste permanece inactivo hasta que la web tiene que responder a un evento MouseOver sobre un elemento introducido en el footer de la web por los atacantes. ¿Por qué? Sencillo y bien pensado: muchas herramientas de análisis no reproducen el comportamiento del usuario, simplemente revisan el código que se carga al abrirla. De esta manera, el patógeno oculta su presencia, y solo se deja ver cuando el usuario lo activa al mover el ratón.
Otra propiedad interesante de este skimmer, según los investigadores que lo han detectado, es que es capaz de detectar que está siendo manipulado por terceros y, en tal caso, se autodestruye. ¿Por qué? De nuevo muy sencillo pero malo: de esta manera dificulta considerablemente el trabajo de los investigadores, que deben llevar a cabo múltiples tareas para poder analizarlo, averiguar cómo funciona y, con ello, desarrollar todas las contramedidas necesarias para combatirlo Con su función de autodestrucción, este malware lo complica todo.
Pero hay algo todavía más preocupante si cabe, y en este caso la responsabilidad no es solo del skimmer. Me refiero a que, pese a haber sido informados de la presencia de este malware en su tienda online, Greenworks ha mantenido la tienda abierta durante varias horas, permitiendo así que los ciberdelincuentes siguieran obtenido información sobre los medios de pago de los compradores que han confiado en la tienda. Ahora ya muestra un mensaje en el que se indica que la tienda está «En mantenimiento», pero no sabemos exactamente cuánto tiempo ha transcurrido entre el aviso y el cierre. Lo que nos consta es que no ha sido inmediato.
Imagen: Hloom vía Flickr
La entrada Un skimmer que se esconde y autodestruye aparece en Greenworks es original de MuySeguridad. Seguridad informática.