Baka Skimmer

A gigante dos cartões Visa, e em particular sua equipe Payment Fraud Disruption (PFD), emitiu um alerta de segurança sobre uma nova variedade de malware digital de skimming que eles chamaram de 'Baka'. Eles detectaram o malware enquanto investigavam um servidor Command-and-Control (C2) em conexão com um malware diferente - a variante do skimmer ImageID. O PFD da Visa descobriu sete servidores que hospedavam o Baka Skimmer.

O Baka Skimmer possui todas as funções esperadas de um malware de skimming de e-commerce, tal como exfiltração de dados por meio de solicitações de imagem e campos de formulário de destino configuráveis. O que distingue o Baka Skimmer do resto de ameaças de malware semelhantes são suas técnicas anti-detecção. O skimmer é carregado dinamicamente para evitar scanners de malware estáticos, ao mesmo tempo que define parâmetros de criptografia exclusivos para cada vítima infectada. Na verdade, o código de skimming real é descriptografado e executado inteiramente na memória, sem nunca estar presente no computador do cliente ou no servidor do comerciante visado.

Depois que o Baka Skimmer é executado, ele executa cinco funções diferentes no alvo infectado. Primeiro, ele deve descriptografar a lista que informa ao malware de quais campos coletar dados. O malware varre os campos selecionados a cada 100 milissegundos e verifica se algum dado foi coletado no mesmo intervalo de tempo. A cada 3 segundos, o Baka Skimmer realiza uma verificação para determinar se deve exfiltrar os dados para o portal de exfiltração, descriptografando o URL usando o nome de domínio do comerciante como chave. Após a extração bem-sucedida das informações coletadas, o Baka Skimmer prossegue para a etapa final de sua programação - para apagar quaisquer vestígios que possa ter deixado, removendo todo o código de skimming da memória.