Ciberseguridad 360 | Detectan paquete malicioso en PyPI que explotaba la API de WooCommerce para validar tarjetas de crédito robadas

Un paquete PyPi malicioso reci�n descubierto llamado ?disgrasya? que abusa de tiendas WooCommerce leg�timas para validar tarjetas de cr�dito robadas ha sido descargado m�s de 34.000 veces desde la plataforma de paquetes de c�digo abierto.

El script se dirig�a espec�ficamente a las tiendas WooCommerce que utilizan la pasarela de pago CyberSource para validar las tarjetas, lo cual es un paso clave para los actores de carding que necesitan evaluar miles de tarjetas robadas de vertederos de la web oscura y bases de datos filtradas para determinar su valor y potencial explotaci�n.

Aunque el paquete ha sido retirado de PyPI, su elevado n�mero de descargas demuestra el enorme volumen de abuso para este tipo de operaciones maliciosas.

"A diferencia de los t�picos ataques a la cadena de suministro que se basan en el enga�o o la typosquatting, disgrasya no hizo ning�n intento de parecer leg�timo", explica un informe de los investigadores de Socket.

"Era abiertamente malicioso, abusando de PyPI como canal de distribuci�n para llegar a un p�blico m�s amplio de estafadores".

De particular inter�s es el descarado abuso de PyPi para alojar un paquete que los creadores indicaban claramente en la descripci�n que se utilizaba para actividades maliciosas.

"Una utilidad para comprobar tarjetas de cr�dito a trav�s de m�ltiples pasarelas utilizando multi-threading y proxies", se lee en la descripci�n del paquete disgrasya.

Socket se�ala que la funcionalidad maliciosa en el paquete se introdujo en la versi�n 7.36.9, probablemente un intento de evadir la detecci�n por parte de los controles de seguridad que podr�an ser m�s estrictos para los env�os iniciales en comparaci�n con las actualizaciones posteriores.

Emulando compradores para validar tarjetas

El paquete malicioso contiene un script Python que visita sitios WooCommerce leg�timos, recopila IDs de productos y luego a�ade art�culos al carrito invocando el backend de la tienda.

A continuaci�n, navega a la p�gina de pago del sitio desde donde roba el token CSRF y un contexto de captura, que es un fragmento de c�digo CyberSource usuarios para procesar los datos de la tarjeta de forma segura.

Seg�n Socket, estos dos elementos suelen estar ocultos en la p�gina y caducan r�pidamente, pero el script los captura al instante mientras rellena el formulario de pago con informaci�n inventada del cliente.

En el siguiente paso, en lugar de enviar la tarjeta robada directamente a la pasarela de pago, la env�a a un servidor controlado por el atacante (railgunmisaka.com), que se hace pasar por CyberSource y devuelve un token falso para la tarjeta.

Solicitud POST enviando los datos de la tarjeta

Fuente: Socket

Por �ltimo, el pedido con la tarjeta tokenizada se env�a a la tienda web y, si se tramita, se comprueba que la tarjeta es v�lida. Si falla, registra el error e intenta con la siguiente tarjeta.

Resultados de la transacci�n impresos

Fuente: Socket

Utilizando una herramienta como �sta, los actores de la amenaza son capaces de realizar la validaci�n de un gran volumen de tarjetas de cr�dito robadas de forma automatizada.

Estas tarjetas verificadas pueden utilizarse para cometer fraudes financieros o venderse en mercados de ciberdelincuentes.

C�mo bloquear los ataques de cardado

Socket comenta que este proceso de emulaci�n de la compra de principio a fin es especialmente dif�cil de detectar para los sistemas de detecci�n de fraudes en los sitios web atacados.

"Todo este flujo de trabajo - desde la recolecci�n de identificadores de producto y tokens de pago, hasta el env�o de los datos de la tarjeta robada a un tercero malicioso y la simulaci�n de un flujo de pago completo - es muy espec�fico y met�dico", afirma Socket.

"Est� dise�ado para mezclarse con los patrones de tr�fico normales, lo que hace que la detecci�n sea incre�blemente dif�cil para los sistemas tradicionales de detecci�n de fraude".

Aun as�, Socket afirma que existen m�todos para mitigar el problema, como bloquear los pedidos de muy poco valor inferiores a 5 d�lares, que suelen utilizarse en los ataques de carding, vigilar m�ltiples pedidos peque�os que tengan tasas de fallo inusualmente altas, o vol�menes de pago elevados vinculados a una �nica direcci�n IP o regi�n.

Socket tambi�n sugiere a�adir pasos CAPTCHA en el flujo de pago que puedan interrumpir el funcionamiento de los scripts de carding, as� como aplicar l�mites de velocidad en los puntos finales de pago.

Fuente: bleepingcomputer