Nueva variante de Grelos destaca los entrecruces de amenazas dentro de Magecart

Se ha descubierto una nueva variante del programa malicioso Grelos acechando a sus víctimas en el mundo real. El programa es una conocida variante del grupo Magecart que se dedica a robar los datos necesarios para clonar tarjetas de crédito.

El programa malicioso Grelos ha sido vinculado con Fullz House, un grupo de hackers que combina las habilidades de dos grupos de hackers diferentes: uno que se dedicaba a las estafas y otro al clonado de tarjetas de crédito y débito (skimmer). Se cree que Grelos está activo desde 2015, pero en 2018 se establecieron las conexiones con Magecart, que contiene una serie de amenazas que operan de forma similar para robar los datos de tarjetas de crédito que manejan las tiendas.

El nuevo descubrimiento evidencia las dificultades que existen para distinguir entre las diferentes campañas maliciosas que operan dentro de Magecart. Los investigadores de RiskIQ analizaron la amenaza y advirtieron que la nueva variante de Grelos demuestra que las infraestructuras y grupos que operan dentro de Magecart se superponen cada vez más.

En este caso, la variante de Grelos se aloja en infraestructuras de dominios que son utilizados por diversos grupos, y además de robar datos de tarjetas de crédito está vinculada con campañas de phishing y de difusión de otros programas maliciosos. Por lo tanto, tantos entrecruces hacen que sea difícil para los investigadores separar las diferentes operaciones maliciosas y a sus responsables.

Grelos se ha asociado con los grupos 1 y 2 de Magecart durante años, pero la nueva variante utiliza WebSockets para robar los datos de las tarjetas, que es una técnica que se documentó por primera vez en diciembre de 2019 por programas del grupo 9 de Magecart. “Creemos que este skimmer no está relacionado de forma directa con la actividad de los grupos 1 y 2 de 2015-2016, sino con un reciclado de algunos de sus códigos”, dijo RiskIQ. Esta variante también emplea base64 para esconder sus actividades.

“En varias infecciones recientes de Magecart hemos encontrado superposiciones cada vez mayores en las infraestructuras que se emplean para alojar los diversos skimmers que no están vinculados entre sí con las técnicas y estructuras de códigos que emplean”, dijo RiskIQ. “También hemos visto nuevas variantes de skimmers que vuelven a usar códigos que se vieron durante los últimos años”.

Fuentes
New Grelos skimmer variant reveals overlap in Magecart group activities, malware infrastructure • ZDNet
Heads up: A new strain of card-skimming Grelos malware is on the loose • The Register
New Grelos skimmer variant reveals murkiness in tracking Magecart operations • Security Affairs