Uma campanha contínua do Magecart chamou a atenção de pesquisadores de segurança cibernética por usar telas de pagamento falsas muito realistas para capturar dados sensíveis inseridos por usuários desavisados.
"O ator ameaçador usou logotipos originais da loja comprometida e personalizou um elemento da web conhecido como modal para sequestrar perfeitamente a página de checkout", disse Jérôme Segura, diretor de inteligência de ameaças na Malwarebytes.
"O notável aqui é que o skimmer parece mais autêntico do que a página original de pagamento".
O termo Magecart é um termo genérico que se refere a vários grupos de crimes cibernéticos que empregam técnicas de skimmin online para roubar dados pessoais de sites - mais comumente, detalhes do cliente e informações de pagamento em sites de comércio eletrônico.
O nome tem origem no foco inicial dos grupos na plataforma Magento.
De acordo com dados compartilhados pela Sansec, os primeiros ataques semelhantes ao Magecart foram observados já em 2010.
A partir de 2022, estima-se que mais de 70.000 lojas tenham sido comprometidas com um skimmer da web.
Esses ataques de skimmin digital, também chamados de formjacking, tradicionalmente usam vários tipos de truques em JavaScript para extrair informações sensíveis dos usuários do site.
A última iteração, observada pela Malwarebytes em uma loja parisiense de acessórios de viagem não identificada que roda no CMS PrestaShop, envolveu a injeção de um skimmer chamado Kritec para interceptar o processo de checkout e exibir um diálogo de pagamento falso para as vítimas.
O Kritec, previamente detalhado pela Akamai e pela Malwarebytes em fevereiro de 2023, foi encontrado para se passar por fornecedores terceirizados legítimos, como o Google Tag Manager, como uma técnica de evasão.
A empresa de segurança cibernética disse que o skimmer é complexo e fortemente ofuscado, com o modal malicioso carregado ao selecionar um cartão de crédito como opção de pagamento do site comprometido.
Depois que os detalhes do cartão de pagamento são coletados, uma mensagem de erro falsa sobre o cancelamento do pagamento é exibida brevemente para a vítima antes de ser redirecionada para a página real de pagamento, momento em que o pagamento será processado.
"O skimmer deixará um cookie que servirá como indicação de que a sessão atual agora está marcada como concluída", explicou Segura.
"Se o usuário voltasse e tentasse o pagamento novamente, o modal malicioso não seria mais exibido".
Os atores ameaçadores por trás da operação estariam usando diferentes domínios para hospedar o skimmer, que são dados nomes semelhantes: "[nome da loja]-loader.js", sugerindo que os ataques estão direcionados a diferentes lojas online com modais personalizados.
"Discernir se uma loja online é confiável tornou-se muito difícil e este caso é um bom exemplo de um skimmer que não levantaria suspeitas", disse Segura.
As descobertas vêm pouco mais de dois meses depois que a Malwarebytes descobriu outro skimmer da web que coleta dados de impressão digital do navegador, como endereços IP e cadeias de agente do usuário, juntamente com informações do cartão de crédito, provavelmente em uma tentativa de monitorar usuários inválidos, como bots e pesquisadores de segurança.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...