Un paquete malicioso recién descubierto en PyPI, llamado ‘disgrasya’ que abusa de tiendas legítimas de WooCommerce para validar tarjetas de crédito robadas, ha sido descargado más de 34.000 veces desde la plataforma de paquetes de código abierto.
¿Cómo funciona la herramienta?
El script se dirige específicamente a las tiendas WooCommerce que usan el gateway de pago CyberSource para validar las tarjetas, un paso clave para los actores de carding que necesitan evaluar miles de tarjetas robadas de filtraciones y dumps de la dark web para determinar su valor y potencial de explotación.
A pesar de que el paquete ha sido eliminado de PyPI, su alto número de descargas demuestra la magnitud del abuso de este tipo de operaciones maliciosas.
Descripción maliciosa del paquete
A diferencia de los típicos ataques de cadena de suministro que dependen de la engaño o typosquatting, el paquete ‘disgrasya’ no intentaba parecer legítimo en absoluto, según un informe de los investigadores de Socket.
El paquete se describía abiertamente como una utilidad para comprobar tarjetas de crédito a través de múltiples gateways utilizando multiprocesamiento y proxies. Así lo decía la descripción:
“Una utilidad para verificar tarjetas de crédito a través de múltiples pasarelas usando multi-hilos y proxies.”
¿Qué hace el script?
El paquete malicioso contiene un script en Python que visita sitios legítimos de WooCommerce, recoge IDs de productos y luego añade artículos al carrito utilizando el backend de la tienda.
A continuación, navega a la página de checkout y roba el token CSRF y el capture context, que es un fragmento de código usado por CyberSource para procesar datos de tarjetas de manera segura.
Después de capturar estos datos, el script los envía a un servidor controlado por los atacantes (railgunmisaka.com), que se hace pasar por CyberSource y devuelve un token falso para la tarjeta.
Finalmente, el pedido con la tarjeta tokenizada se envía a la tienda web y, si pasa, se verifica que la tarjeta es válida. Si falla, el error se registra y se prueba con la siguiente tarjeta.
Impacto y riesgos
Utilizando una herramienta como esta, los actores maliciosos pueden validar un gran volumen de tarjetas de crédito robadas de forma automatizada.
Las tarjetas verificadas pueden ser utilizadas para cometer fraudes financieros o vendidas en mercados de cibercrimen.
¿Cómo bloquear los ataques de carding?
La emulación completa del proceso de checkout es difícil de detectar para los sistemas de detección de fraude tradicionales, ya que parece tráfico legítimo.
Aunque Socket sugiere algunas medidas de mitigación:
- Bloquear pedidos de muy bajo valor (por ejemplo, menores a $5) que suelen ser utilizados en ataques de carding.
- Monitorear múltiples pequeños pedidos que tengan una tasa de fallos inusualmente alta, o un alto volumen de compras desde una única dirección IP o región.
- Añadir pasos de CAPTCHA en el flujo de pago para interrumpir la operación de los scripts de carding.
- Aplicar limitación de velocidad en los endpoints de checkout y pago.
Estas estrategias pueden ayudar a detectar y mitigar los ataques de carding basados en la herramienta maliciosa.