Grelos Skimmer

Grelos Skimmer es el nombre que se le da a una variedad de malware desplegado por piratas informáticos en ataques al estilo Magecart. El Grelos Skimmer se ha utilizado durante varios años desde que se detectó por primera vez en 2015. Durante ese tiempo, varios grupos de piratas informáticos diferentes han desarrollado y liberado múltiples variantes, lo que ha creado una confusión considerable al intentar distinguir las operaciones de un grupo de otro.

Magercart denota una operación de ataque que ve a los piratas informáticos comprometiendo y robando datos de tarjetas de crédito de sitios web de comercio electrónico específicamente. Cientos de sitios web han sido víctimas de este ataque, incluidas algunas marcas importantes como British Airways y Ticketmaster. Muchos ciberdelincuentes intervinieron, lo que resultó en la creación de numerosos grupos que se han especializado en llevar a cabo tales ataques. En el panorama actual, las características separadas de los actores de amenazas de Magecart están comenzando a mezclarse. Los mejores ejemplos son las últimas variantes de Grelos Skimmer que han sido descubiertas por los investigadores de RiskIQ.

Estas nuevas amenazas de skimmer reutilizan porciones significativas del código anterior, y algunas secciones pueden rastrearse hasta las primeras instancias de Magecart. A pesar de ser lanzados por diferentes grupos, existe una superposición significativa en las cepas: contienen una etapa de carga y una etapa de skimmer, usan codificación base64 y sockets web para la exfiltración de datos. Solo se han encontrado diferencias menores, como una que usa una capa de codificación base64 mientras que la otra genera cinco capas. Sin embargo, la última versión ha sido equipada con un formulario de pago falso que recopila todos los datos que ingresan los usuarios. Según los investigadores, decenas de sitios ya se han visto comprometidos por esta variante de Grelos Skimmer.