Alertas de seguridad

Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.

Pipka el nuevo Skimmer de JavaScript

  • Publicado: 10/11/2019
  • Importancia: Media

Recursos afectados

Los skimmer de tipo software, corresponden a aquellos que pueden instalarse en plataformas web de comercio electrónico, logrando la captura de información financiera como datos de tarjetas de crédito y datos personales del usuario. El CSIRT Financiero ha identificado actividad reciente de Pipka. Un skimmer que permite la configuración de campos que va a capturar con el fin de ser más efectivo y preciso al momento de exfiltrar la información.

Pipka cuando se aloja en un sitio web, inicia el almacenamiento de los datos extraídos y los codifica en base64 para luego cifrarlos con el algoritmo simétrico ROT13. Además, antes de exfiltrar la información, revisa los datos para validar si se encuentran datos repetidos y seguidamente eliminarlos. Al momento de eliminarse, Pipka combina técnicas antiforense para no ser detectado al momento de su ejecución.

Otra de las grandes diferencias que tiene Pipka versus los anteriores skimmer de Javascript, es que una vez es ejecutado en el dominio web y ha capturado los datos, se elimina del HTML de la página, haciendo que su detección sea más difícil. Así mismo este skimmer utiliza una petición de tipo GET Image para exfiltrar la información hacia el servidor C2 [Command and Control], esto garantiza a los ciberdelincuentes que la exfiltración de la información no sea detectada.

Este es un breve resumen realizado por el equipo del CSIRT, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, sea miembro del CSIRT Financiero y contáctenos a través del correo [email protected].

Etiquetas