Lil 'Skim Skimmer

Detalhes sobre uma ameaça de skimmer que tem sido capaz de permanecer sob o radar por mais de um ano foram revelados em um novo relatório. Chamada de Lil 'Skim, a ameaça do skimmer parece ser uma versão mais direta e simples das variantes típicas do skimmer Magecart. Para dificultar a detecção enquanto está ativo e coletando informações de cartão de crédito/débito de usuários que compram nas páginas comprometidas, o Lil 'Skim usa a tática de se passar por entidades legítimas.

Os operadores da ameaça criaram vários domínios de skimmer cujos nomes imitam muito os dos sites legítimos, mas comprometidos. Os cibercriminosos simplesmente substituíram o nome de domínio de nível superior normal por '.site,' '.website' ou '.pw.' Os hosts recém-criados então iniciam o código do skimmer e acessam os dados de pagamento roubados dos usuários. Alguns exemplos incluem gorillawhips.com e o site de imitação em gorillawhips.site, bem como dogdug.com e seu imitador em dogdug.website. Todos os domínios descobertos por pesquisadores da infosec estavam hospedados em 87.236.16 [.] 107.

Escondendo-se Entre Outras Ameaças

Outra técnica comum frequentemente empregada por operadores de skimmer envolve a representação de marcas legítimas como Google, jQuery e outras. Lil 'Skim não é uma exceção e vários de seus domínios foram nomeados em homenagem ao Google. Em outra instância, os operadores do skimmer personificaram o aplicativo de bate-papo tidio.com usando o nome tidio[.]Fun.

Também deve ser observado que os cibercriminosos por trás de Lil 'Skim colocaram seus domínios de skimmer em um sistema autônomo que também contém um número significativo de hosts corrompidos relacionados a outras ameaças de malware, como kits de phishing, payloads do Android e malware do Windows. Apenas dois endereços IP-87.236.16[.]10 e o referido 87.236.16[.]107, foram descobertos como hospedando domínios adicionais que fazem parte da operação Lil 'Skim.