Un gruppo hacker compromette il provider di telefonia mobile per rubare le carte di credito
6 Ottobre 2020 - Tempo di lettura: 10 minuti
Il gruppo specializzato in carte di credito Fullz House ha compromesso e iniettato il sito Web dell'operatore di rete virtuale mobile statunitense (MVNO) Boom! Cellulare con script per ladro di carte di credito.
Boom! Mobile fornisce ai clienti con sede negli Stati Uniti piani di servizi wireless postpagati e prepagati senza contratto che funzionano sulle più grandi reti cellulari della nazione, tra cui AT&T, Verizon e T-Mobile.
Questo tipo di compromissione è noto come attacco MageCart ( noto anche come web skimming o e-skimming), consiste nel fatto che gli autori delle minacce iniettano script JavaScript dannosi all'interno di una o più sezioni di un sito Web compromesso.
Questi script vengono quindi utilizzati dagli hacker per rubare informazioni di pagamento o personali inviate dai clienti dei siti all'interno di moduli di e-commerce.
Il sito di Boom è ancora infettato da script dannosi
Il sito web dell'operatore di rete mobile era ancora compromesso quando questo articolo è stato pubblicato, con lo skimmer di carte di credito dannoso del gruppo Fullz House ancora attivo sulla piattaforma di e-commerce basata sul carrello della spesa di Boom.
Come scoperto dal Threat Intelligence Team di Malwarebytes, gli aggressori hanno inserito una singola riga di codice che carica una libreria JavaScript esterna da paypal-debit [.] Com / cdn / ga.js, camuffata come uno script di Google Analytics.
Il card skimmer funziona raccogliendo le informazioni della carta di pagamento dai campi di input ogni volta che rileva eventuali modifiche, esfiltrando immediatamente i dati raccolti come richiesta GET codificata Base64.
Sebbene il metodo esatto utilizzato dal gruppo Fullz House Magecart per infiltrarsi nel sito Web di Boom non sia noto, Malwarebytes ha osservato che il sito dell'azienda esegue PHP versione 5.6.40, una versione non supportata da gennaio 2019.
"Abbiamo segnalato questo incidente sia tramite live chat che e-mail a Boom! Mobile, ma non abbiamo ricevuto risposta al momento della stesura", ha spiegato Malwarebytes. "Il loro sito web è ancora compromesso e gli acquirenti online sono ancora a rischio".
La combinazione di phishing e skimming
Fullz House è nota per l'utilizzo di una tattica ibrida di scrematura / phishing come scoperto dai ricercatori della società di gestione delle minacce digitali RiskIQ.
Il gruppo è coinvolto sia nello skimming che nel phishing per le informazioni bancarie e sulle carte di entrambi i clienti dei fornitori di servizi di pagamento e durante i checkout sulle piattaforme di e-commerce.
Si sono impegnati a sviluppare i propri skimmer web invece di fare affidamento su skimmer prefabbricati creati da altri che camuffano come uno script di Google Analytics e vengono caricati tramite un tag di script all'interno dei negozi online compromessi (come nel caso dello skimmer iniettato all'interno del sito Boom! Mobile.)
Tuttavia, a differenza dei moderni skimmer che raccolgono i dati solo quando i clienti finalizzano l'ordine, gli script degli skimmer di Fullz House sono estremamente rumorosi e funzionano più come un keylogger che controlla continuamente i campi di input per le modifiche.
Questo skimmer è stato anche riproposto dal gruppo per funzionare come uno strumento di phishing che, una volta che le vittime hanno premuto il pulsante Acquista, le reindirizza dal negozio compromesso a pagine di pagamento false "man-in-the-middle'' progettate per imitare le interfacce di pagamento da legittime istituzioni finanziarie.
In questa pagina, viene chiesto loro di inserire i dettagli di pagamento che vengono inviati ai server degli aggressori una volta cliccato sul pulsante Paga.
Una volta che ciò accade, le vittime vengono immediatamente reindirizzate alla pagina del processore di pagamento reale del negozio per completare l'acquisto senza sapere che i dati della loro carta di credito sono stati rubati.
