News

Nueva variante de Grelos destaca los entrecruces de amenazas dentro de Magecart

Se ha descubierto una nueva variante del programa malicioso Grelos acechando a sus víctimas en el mundo real. El programa es una conocida variante del grupo Magecart que se dedica a robar los datos necesarios para clonar tarjetas de crédito.

El programa malicioso Grelos ha sido vinculado con Fullz House, un grupo de hackers que combina las habilidades de dos grupos de hackers diferentes: uno que se dedicaba a las estafas y otro al clonado de tarjetas de crédito y débito (skimmer). Se cree que Grelos está activo desde 2015, pero en 2018 se establecieron las conexiones con Magecart, que contiene una serie de amenazas que operan de forma similar para robar los datos de tarjetas de crédito que manejan las tiendas.

El nuevo descubrimiento evidencia las dificultades que existen para distinguir entre las diferentes campañas maliciosas que operan dentro de Magecart. Los investigadores de RiskIQ analizaron la amenaza y advirtieron que la nueva variante de Grelos demuestra que las infraestructuras y grupos que operan dentro de Magecart se superponen cada vez más.

En este caso, la variante de Grelos se aloja en infraestructuras de dominios que son utilizados por diversos grupos, y además de robar datos de tarjetas de crédito está vinculada con campañas de phishing y de difusión de otros programas maliciosos. Por lo tanto, tantos entrecruces hacen que sea difícil para los investigadores separar las diferentes operaciones maliciosas y a sus responsables.

Grelos se ha asociado con los grupos 1 y 2 de Magecart durante años, pero la nueva variante utiliza WebSockets para robar los datos de las tarjetas, que es una técnica que se documentó por primera vez en diciembre de 2019 por programas del grupo 9 de Magecart. “Creemos que este skimmer no está relacionado de forma directa con la actividad de los grupos 1 y 2 de 2015-2016, sino con un reciclado de algunos de sus códigos”, dijo RiskIQ. Esta variante también emplea base64 para esconder sus actividades.

“En varias infecciones recientes de Magecart hemos encontrado superposiciones cada vez mayores en las infraestructuras que se emplean para alojar los diversos skimmers que no están vinculados entre sí con las técnicas y estructuras de códigos que emplean”, dijo RiskIQ. “También hemos visto nuevas variantes de skimmers que vuelven a usar códigos que se vieron durante los últimos años”.

Fuentes
New Grelos skimmer variant reveals overlap in Magecart group activities, malware infrastructure • ZDNet
Heads up: A new strain of card-skimming Grelos malware is on the loose • The Register
New Grelos skimmer variant reveals murkiness in tracking Magecart operations • Security Affairs

Nueva variante de Grelos destaca los entrecruces de amenazas dentro de Magecart

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada