Utilización de Bulletproof hostings por parte de grupos de Magecart
- Publicado: 16/01/2021
- Importancia: Media
- Recursos afectados
-
Los ciberdelincuentes de Magecart, están usando este servicio para crear gran cantidad de dominios, utilizados para alojar skimmers desarrollados principalmente con código JavaScript, alojar dominios de phishing y otras infraestructuras maliciosas empleadas en campañas destinadas para la captura de datos. El proveedor de estos servicios se le conoce como Media Land, del cual se conoce que dispone de infraestructura tecnológica para alojar y poner en producción código malicioso dispuesto por ciberdelincuentes y estafadores.
Sobre Media Land, se conoce que se han registrado gran cantidad de dominios utilizados para campañas de phishing a clientes de entidades financieras principalmente ubicadas en Europa y se identificaron varios skimmers de JavaScript, que intentan recopilar datos confidenciales para realizar fraudes.
Algunos de los dominios identificados fueron cdnpack[.]net y gstaticapi[.]com, este último fue reportado por el Csirt Financiero en septiembre de 2020, por evidenciar una campaña de infección a portales de pago electrónico con el Skimmer Gstaticapi, con el objetivo de capturar la información de tarjetas en las transacciones.
Este es un breve resumen realizado por el equipo del Csirt Financiero, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, afíliese al Csirt Financiero Asobancaria y contáctenos [email protected].
- Etiquetas