Um novo skimmer JavaScript chamado Pipka está a ser utilizado em websites de comércio eletrónico para roubar os dados de pagamento inseridos nas formas de pagamento. Extrai detalhes como número da conta de pagamento, data de validade, CVV e nome e endereço do titular do cartão, nas páginas de checkout.
O Pipka foi instalado em mais de dezesseis websites de comércio eletrónico. A campanha maliciosa foi detetada pelo programa Visa Payment Fraud Disruption’s (PFD) eCommerce Threat Disruption (eTD) .
O uso de skimmers surge como um negócio chave para os criminosos. Eles continuam a comprometer lojas on-line para filtrar os detalhes do cartão de pagamento dos utilizadores e obter esses registos.
O Pipka possui uma habilidade especial quando comparado a outros skimmers on-line. É capaz de se remover dos códigos HTML do site comprometido depois de concluir a execução.
Threat actors behind pipka inject the skimmer script directly into the targeted eCommerce website, once executed it harvests data from the forms entered. The harvested data is base64 encoded and encrypted using ROT13 cipher.
Antes de enviar os dados para o servidor sob o comando dos criminosos, ele verifica a exclusividade da sequencia de dados para evitar dados duplicados. Em seguida, ele exibe os campos de input maliciosos na página:
- authorizenet_cc_number
- ctl00_PageContent_tbCardNumber
- input-cc-number
- cc_number
- paypal_direct_cc_number
- ECommerce_DF_paymentMethod_number
- input[id$=\x27_CardNumber\x27]
A PFD encontrou o Pipka no website comercial norte-americano anteriormente infectado pelo Inter, outro skimmer de JavaScript.
Este skimmer permite aos operadores da ameaça personalizar os campos de acordo com os dados alvo a serem recolhidos. Outra habilidade é a capacidade de ele se auto-remover.
Pipka lets attackers customize for specific form fields to skim data. One Sample observed by PFD “target two-step checkout pages that collect billing data on one page and payment account data on another.”
Another notable feature is anti-forensics ability, whenever the skimmer executes it calls for a start process function, which all calls for a clear function ability. The clear function locates for the skimmer script tag and removes it immediately.
Essa funcionalidade dificulta a análise, pois o script é removido imediatamente. Esta é a primeira vez em que se pode encontrar esta funcionalidade em skimmers javascript.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.