Para comprender realmente los grupos de skimming de Magecart que se han convertido en un pilar del panorama de amenazas del comercio electrónico, debe comprender las herramientas del oficio. El kit Inter Skimmeres una de las soluciones de skimming digital más comunes en la actualidad a nivel mundial. Sin embargo, un sello distintivo de los skimmers más utilizados es su propensión a evolucionar a medida que más actores los utilizan y modifican para satisfacer sus necesidades y propósitos únicos.
Varios actores diferentes han utilizado el kit de Inter para robar datos de pago desde finales de 2018. Afecta a miles de sitios y probablemente a miles de consumidores, y RiskIQ continúa viendo nuevas iteraciones de Inter en nuestro gráfico de inteligencia de Internet. Uno de estos que debería estar firmemente en el radar de los equipos de seguridad que monitorean los activos web de su organización es MobileInter, una versión modificada y ampliada del código de skimmer de Inter que se centra exclusivamente en los usuarios móviles.
Con casi tres de cada cuatro dólares gastado en línea a través de un dispositivo móvil, no es de extrañar que los operadores de Magecart estén buscando apuntar a este lucrativo panorama. Los investigadores de RiskIQ han analizado este modelo más nuevo para determinar su funcionalidad, prevalencia y vínculos con otras actividades de skimmer.
Una nueva versión modificada de Inter, el precursor de MobileInter se informó por primera vez en marzo de 2020.Desde entonces, los operadores de Magecart lo han modificado aún más. MobileInter, primero informó en abril de 2021, se centra únicamente en los usuarios móviles y apunta a las credenciales de inicio de sesión y los datos de pago.
La primera iteración de MobileInter descargó las URL exfil ocultas en imágenes de los repositorios de GitHub. Por el contrario, este nuevo MobileInter contiene las URL de exfiltración dentro del propio código skimmer y utiliza WebSockets para la exfiltración de datos. Ocultar su código inyectándolo en imágenes en los sitios web comprometidos es otra nueva arruga agregada por los operadores.
MobileInter también se disfraza a sí mismo y a su infraestructura, apoyándose en gran medida en Google para hacerlo. Se oculta como servicios de seguimiento de Google, utiliza dominios que imitan a Google y abusa de las IP de Google.
Una vez que pasan estas comprobaciones, el skimmer ejecuta su extracción de datos y su exfiltración a través de varias otras funciones. Algunos de estos son nombres que podrían confundirse con servicios legítimos para evitar ser detectados. Por ejemplo, ‘rumbleSpeed’, una función que determina la frecuencia con la que se intenta la función de extracción de datos, está destinada a mezclarse con la jRumble complemento para jQuery, que “retumba” elementos de una página web para atraer la atención del usuario.
