Visa ha emesso un avviso in merito a un nuovo e-skimmer JavaScript per carte di credito noto come Baka che implementa nuove funzionalità per eludere il rilevamento dopo aver esfiltrato i dettagli di carte di credito.
A notarlo sono stati gli esperti di Visa’s Payment Fraud Disruption (PFD) – l’iniziativa nel mese di febbraio 2020 – durante l’analisi di un server di comando e controllo (C2) impiegato in un’altra campagna e che ha ospitato un ImageID e-skimming kit.
Baka è un sofisticato e-skimmer sviluppato da un esperto di malware che implementa un metodo di offuscamento e un loader.
“I componenti più interessanti di questo kit sono l’esclusivo metodo di caricamento e offuscamento. Lo skimmer si carica dinamicamente per evitare scanner di malware statici e utilizza parametri di crittografia univoci per ciascuna vittima per offuscare il codice dannoso”, si legge nell’avviso divulgato da VISA. “PFD valuta che questa variante dello skimmer eviti il rilevamento e l’analisi rimuovendosi dalla memoria quando rileva la possibilità di un’analisi dinamica con gli strumenti per sviluppatori o quando i dati sono stati esfiltrati con successo”.
Gli esperti di PFD hanno trovato Baka su diversi siti web di commercianti in tutto il mondo che utilizzano la funzionalità eTD di Visa.
“Il loader Baka funziona aggiungendo dinamicamente un tag script alla pagina corrente che carica un file JavaScript remoto. L’URL JavaScript è codificato nello script del caricatore in formato crittografato, gli esperti hanno osservato che gli aggressori possono modificare l’URL per ogni vittima.
Il payload e-skimmer viene decrittografato in JavaScript scritto per assomigliare al codice che verrebbe utilizzato per il rendering dinamico delle pagine. Il payload finale e il caricatore utilizzano lo stesso metodo di crittografia, una volta eseguito, il software skimmer ruba i dati della carta di pagamento dal modulo di checkout.
Baka è anche il primo malware di scrematura JavaScript a utilizzare un codice XOR per crittografare i valori hardcoded e offuscare il payload di scrematura fornito dal comando e dal controllo”.
Anche se l’’uso di un cifrario XOR non è nuovo, questa è la prima volta che Visa ne osserva l’utilizzo nello skimming di malware JavaScript. Lo sviluppatore di questo kit di malware utilizza la stessa funzione di cifratura nel caricatore e nello skimmer”, prosegue l’avviso.
L’avviso emesso da Visa include anche Indicatori di compromesso ed un elenco di best practices con le misure di mitigazione.
https://securityaffairs.co/wordpress/107965/malware/card-e-skimmer-baka.html
