Investigadores de Source Defense identificaron una campaña de skimming digital a gran escala que utiliza la cadena de bloques de Ethereum como infraestructura de mando y control. Los atacantes aprovechan contratos inteligentes de Ethereum para gestionar infraestructura maliciosa en lugar de proveedores de alojamiento convencionales, permitiendo una rotación rápida de servidores y dominios. Este enfoque dificulta considerablemente que los equipos de seguridad y las fuerzas del orden desactiven la infraestructura mediante procedimientos tradicionales de desmantelamiento. La campaña demuestra cómo la tecnología blockchain puede ser explotada para hacer que las operaciones maliciosas sean más resistentes a los esfuerzos de interrupción tradicionales, además de aumentar la complejidad para detectar operaciones de robo de tarjetas de pago.
Los investigadores identificaron más de 15 contratos inteligentes de Ethereum que soportan una campaña coordinada de skimming digital dirigida a plataformas de compras en línea. La investigación encontró que la campaña incluye múltiples grupos de infraestructura coordinados y docenas de dominios asociados. Una vez activado, el malware despliega un skimmer de pago avanzado capaz de interceptar los procesos de pago en línea.
A diferencia de los ataques convencionales de Magecart que incrustan dominios maliciosos directamente en sitios web comprometidos, esta campaña almacena la información de enrutamiento dentro de contratos inteligentes de Ethereum. Los sitios web comprometidos recuperan los detalles de infraestructura activa desde la cadena de bloques antes de descargar una carga útil maliciosa de segunda etapa. El software malicioso supuestamente reemplaza las interfaces de pago legítimas por réplicas convincentes diseñadas para recopilar la información de las tarjetas de pago de los clientes, datos personales y datos del dispositivo antes de transmitir la información robada a los atacantes.
Este enfoque descentralizado permite a los atacantes modificar la infraestructura sin cambiar el código malicioso incrustado en los sitios web infectados, aumentando la flexibilidad operativa y reduciendo la probabilidad de detección. Source Defense indicó que la infraestructura basada en blockchain ofrece a los ciberdelincuentes una forma efectiva de evadir los controles de seguridad tradicionales, ya que no existe un proveedor de alojamiento centralizado que las autoridades puedan presionar para eliminar los servicios maliciosos.
Los investigadores señalaron que los atacantes desarrollaron técnicas capaces de eludir las medidas de seguridad de pago tradicionales, destacando las limitaciones de confiar únicamente en el cumplimiento del Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS) 4.0. Se espera que las organizaciones que procesan información de tarjetas de pago cumplan con los requisitos de PCI DSS 4.0, incluyendo la implementación de autenticación multifactor robusta en los entornos de datos de los titulares de tarjetas. Sin embargo, los investigadores sugirieron que las técnicas de ataque en evolución demostraron la capacidad de sortear algunas protecciones y directrices establecidas en el estándar.
Stephen Ward, director de marketing en Source Defense, indicó que muchas organizaciones aún no han implementado completamente PCI DSS 4.0 a pesar de su carácter obligatorio para los comerciantes que manejan datos de tarjetas de pago. Sugirió que la aplicación puede variar porque las organizaciones responsables de supervisar el cumplimiento a menudo mantienen relaciones comerciales con los comerciantes, lo que potencialmente reduce la disposición a aplicar sanciones estrictas.
El informe argumentó que la seguridad del lado del cliente sigue recibiendo atención insuficiente en muchas organizaciones. Según los investigadores, la implementación inconsistente de controles de seguridad y el énfasis en el cumplimiento normativo en lugar de una ciberseguridad integral han dejado a muchas plataformas de comercio electrónico vulnerables a ataques cada vez más sofisticados.
La naturaleza descentralizada de las redes blockchain crea desafíos adicionales para los profesionales de ciberseguridad que intentan interrumpir ataques en curso. Ward sugirió que los equipos de seguridad deberían prepararse para una adopción más amplia de las tecnologías blockchain por parte de los ciberdelincuentes. Indicó que a medida que las plataformas blockchain se integran cada vez más en operaciones maliciosas, los ataques probablemente serán tanto más frecuentes como más sofisticados, dificultando significativamente los esfuerzos de interrupción.
Aunque aún no se conoce en qué medida los ciberdelincuentes están adoptando infraestructura basada en blockchain, los investigadores sugirieron que una mayor cooperación internacional entre las agencias de cumplimiento de la ley podría incentivar a los actores de amenazas a migrar hacia tecnologías descentralizadas que son inherentemente más resistentes a los esfuerzos de desmantelamiento. Señalaron que los avances en inteligencia artificial podrían, eventualmente, mejorar la identificación de infraestructura maliciosa, pero advirtieron que los equipos de seguridad deben esperar que los adversarios sigan explotando el anonimato y la resiliencia que ofrecen las plataformas blockchain en el corto plazo.
Los hallazgos sugieren que la infraestructura descentralizada en blockchain podría hacer que las operaciones de ciberdelincuencia futuras sean más resistentes, obligando a los equipos de seguridad a adoptar métodos de detección más avanzados, incluyendo análisis de amenazas impulsados por IA.
¿Qué descubrieron los investigadores de Source Defense sobre la campaña de skimming Magecart?
Los investigadores de Source Defense identificaron una campaña de skimming digital a gran escala que utiliza más de 15 contratos inteligentes de Ethereum como infraestructura de mando y control. La campaña apunta a plataformas de compras en línea y usa tecnología blockchain para gestionar infraestructura maliciosa, permitiendo a los atacantes rotar rápidamente servidores y dominios mientras evaden los procedimientos tradicionales de desmantelamiento.
¿Cómo elude esta campaña las medidas de seguridad PCI DSS 4.0?
Los investigadores indicaron que los atacantes desarrollaron técnicas capaces de sortear las medidas de seguridad de pago tradicionales establecidas en PCI DSS 4.0. El malware reemplaza las interfaces de pago legítimas por réplicas diseñadas para recopilar información de tarjetas, datos personales y datos del dispositivo. Los investigadores sugirieron que las técnicas de ataque en evolución demostraron la capacidad de evadir algunas protecciones y directrices del estándar, resaltando las limitaciones de confiar únicamente en el cumplimiento.
¿Por qué es difícil para las autoridades desactivar la infraestructura basada en blockchain?
La infraestructura basada en blockchain no cuenta con un proveedor de alojamiento centralizado que las autoridades puedan presionar para eliminar los servicios maliciosos. La naturaleza descentralizada de las redes blockchain crea desafíos adicionales para los profesionales de ciberseguridad que intentan interrumpir ataques en curso. Los atacantes pueden modificar la infraestructura sin cambiar el código malicioso en los sitios web infectados, aumentando la flexibilidad operativa y reduciendo la probabilidad de detección.
Noticias relacionadas
La industria de las criptomonedas preparándose para la amenaza de la computación cuántica a la encriptación de la blockchain
La CMA de Kenia adquiere vigilancia en blockchain para la supervisión de criptoactivos
Bitmine compra $70M Ethereum, sus tenencias alcanzan 5,74 millones de ETH
La perspectiva de Ethereum apunta a la recuperación del soporte clave