新的基于网络的信用卡窃取者使用电报信使过滤数据

网络犯罪集团不断发展，以找到窃取金融信息的新方法，他们武库中的最新伎俩是利用短信应用Telegram为自己谋利。

Magecart集团采用了一种新策略，即使用加密消息服务将被盗的支付详细信息从受损网站发送回攻击者。

Malwarebytes的杰罗姆·塞古拉（Jérôme Segura）周一在一份分析报告中说：“对于威胁行为者来说，这种数据外泄机制是有效的，不需要他们维持可能被防御者摧毁或封锁的基础设施。”。“他们甚至可以实时收到每一位新受害者的通知，帮助他们在地下市场快速将被盗的卡兑换成现金。”

上周，安全研究人员@AffableKraut在Twitter上首次公开记录了TTP，使用的数据来自荷兰网络安全公司Sansec。


通过利用已知的漏洞或被盗的凭证在购物网站上注入电子撇取器来窃取信用卡详细信息，是Magecart的一种久经考验的做法。Magecart是一个针对在线购物车系统的不同黑客组织的联盟。

这些虚拟信用卡略读器，也称为表单劫持攻击，通常是JavaScript代码，运营商会偷偷地将其插入电子商务网站，通常是在支付页面上，目的是实时捕获客户的信用卡详细信息，并将其传输到远程攻击者控制的服务器。

但在过去几个月里，他们加紧努力，在图像元数据中隐藏偷卡者代码，甚至实施IDN同音词攻击，在网站的favicon文件中植入网页浏览者。


这一次最新颖的是过滤数据（如姓名、地址、信用卡号、到期日和CVV）本身的方法，这是通过使用略读代码中的编码机器人ID发送到私人电报通道的即时消息来完成的。

“欺诈性数据交换是通过Telegram的API进行的，该API将支付细节发布到聊天频道，”Segura说。“这些数据以前是加密的，以便更难识别。”

使用Telegram的好处是，威胁参与者不再需要费心设置单独的指挥和控制基础设施来传输收集到的信息，也不必面临这些域被反恶意软件服务关闭或阻止的风险。

Segura说：“防御这种形式的略读攻击有点棘手，因为它依赖于合法的通信服务。”。“很明显，攻击者可以在网络级别阻止与电报的所有连接，但攻击者可以很容易地切换到另一个提供商或平台（就像他们以前所做的那样），并且仍然可以逍遥法外。”