Los investigadores de seguridad cibernética han descubierto bibliotecas maliciosas en el repositorio del índice de paquetes de Python (PYPI) que están diseñados para robar información confidencial y probar datos de tarjetas de crédito robadas.
Dos de los paquetes, Bitcoinlibdbfix y Bitcoinlib-Dev, Masquerade como soluciones para problemas recientes detectados en un módulo de pitón legítimo llamado bitcoinlib, según ReversingLabs. Un tercer paquete descubierto por Socket, Disgraya, contenía un script de cardado totalmente automatizado dirigido a las tiendas WooCommerce.
Los paquetes atrajeron cientos de descargas antes de ser retirados, según estadísticas de Pepy.tech –
«Las bibliotecas maliciosas intentan un ataque similar, sobrescribiendo el comando legítimo ‘CLW CLI’ con código malicioso que intenta exfiltrar archivos de base de datos confilados», dijo ReversingLabs.
En un giro interesante, se dice que los autores de las bibliotecas falsificadas se unieron a una discusión de problemas de GitHub e intentaron sin éxito engañar a los usuarios desprevenidos para que descarguen la supuesta solución y ejecución de la biblioteca.
Por otro lado, se ha encontrado que Disguraya es abiertamente malicioso, sin hacer ningún esfuerzo para ocultar su cardado e información de tarjetas de crédito que roba la funcionalidad.
«La carga útil maliciosa se introdujo en la versión 7.36.9, y todas las versiones posteriores llevaban la misma lógica de ataque integrado», dijo el equipo de investigación de Socket.
El cardado, también llamado relleno de tarjetas de crédito, se refiere a una forma automatizada de fraude de pago en la que los estafadores prueban una lista masiva de información de crédito o tarjeta de débito robado contra el sistema de procesamiento de pagos de un comerciante para verificar los detalles de la tarjeta incumplidos o robados. Se encuentra en una categoría de ataque más amplia denominada abuso de transacciones automatizado.
Una fuente típica de los datos de la tarjeta de crédito robado es un foro de cardado, donde los detalles de la tarjeta de crédito se aplican a las víctimas que utilizan varios métodos como phishing, skimming o malware de robador se anuncian para la venta a otros actores de amenazas para promover actividades criminales.
Una vez que se encuentran activos (es decir, no se informan perdidos, robados o desactivados), los estafadores las usan para comprar tarjetas de regalo o tarjetas prepagas, que luego se revenden con fines de lucro. También se sabe que los actores de amenaza prueban si las tarjetas son válidas al intentar pequeñas transacciones en sitios de comercio electrónico para evitar ser marcados por fraude por los propietarios de tarjetas.
El paquete Rogue identificado por Socket está diseñado para validar la información de la tarjeta de crédito robada, particularmente dirigirse a comerciantes que usan WooCommerce con Cyberseurce como la pasarela de pago.
El script logra esto emulando las acciones de una actividad de compra legítima, encontrar programáticamente un producto, agregarlo a un carro, navegar a la página de pago de WooCommerce y llenar el formulario de pago con detalles de facturación aleatorios y los datos de la tarjeta de crédito robado.
Al imitar un proceso de pago real, la idea es probar la validez de las tarjetas saqueadas y exfiltrarse los detalles relevantes, como el número de tarjeta de crédito, la fecha de vencimiento y el CVV, a un servidor externo bajo el control del atacante («RailGunmisaka (.) Com») sin atraer la atención de los sistemas de detección de fraude.
«Si bien el nombre podría levantar las cejas a los hablantes nativos (‘Disgraya’ es la jerga filipina para ‘desastre’ o ‘accidente’), es una caracterización adecuada de un paquete que ejecuta un proceso de varios pasos que emulan un viaje legítimo a través de una tienda en línea para probar cartas de crédito robadas contra los sistemas de verificación reales sin detectar la detección de craude», dijo Socket.
«Al incrustar esta lógica dentro de un paquete de Python publicado en PYPI y descargado más de 34,000 veces, el atacante creó una herramienta modular que podría usarse fácilmente en marcos de automatización más grandes, lo que hace que Disgrasya sea una poderosa utilidad de cardado disfrazada de una biblioteca inofensiva».
