Lil' Skim Skimmer

Los detalles sobre una amenaza de skimmer que ha podido permanecer en su mayoría bajo el radar durante más de un año se han revelado en un nuevo informe. Llamada Lil 'Skim, la amenaza del skimmer parece ser una versión más sencilla y directa de las variantes típicas del skimmer Magecart. Para dificultar la detección mientras está activo y recopilar información de tarjetas de crédito / débito de los usuarios que compran en las páginas comprometidas, Lil 'Skim recurre a la táctica de hacerse pasar por entidades legítimas.

Los operadores de la amenaza han creado numerosos dominios skimmer cuyos nombres se asemejan mucho a los de los sitios legítimos pero comprometidos. Los ciberdelincuentes simplemente reemplazaron el nombre de dominio de nivel superior normal con '.site', '.website' o '.pw'. Los hosts recién creados inician el código de skimmer y acceden a los datos de pago robados de los usuarios. Algunos ejemplos incluyen gorillawhips.com y el sitio de imitación en gorillawhips.site, así como dogdug.com y su imitador en dogdug.website. Todos los dominios descubiertos por los investigadores de infosec estaban alojados en 87.236.16 [.] 107.

Escondiéndose entre otras amenazas

Otra técnica común empleada a menudo por los operadores de skimmer consiste en hacerse pasar por marcas legítimas como Google, jQuery y otras. Lil 'Skim no es una excepción y varios de sus dominios llevan el nombre de Google. En otro caso, los operadores de skimmer se hicieron pasar por la aplicación de chat tidio.com usando el nombre tidio [.] Fun.

También debe tenerse en cuenta que los ciberdelincuentes detrás de Lil 'Skim colocan sus dominios skimmer en un sistema autónomo que también contiene una cantidad significativa de hosts corruptos relacionados con otras amenazas de malware, como kits de phishing, cargas útiles de Android y malware de Windows. Solo se descubrió que dos direcciones IP, 87.236.16 [.] 10 y la 87.236.16 [.] 107 antes mencionada, alojaban dominios adicionales como parte de la operación Lil 'Skim.