Pesquisadores de cibersegurança identificaram uma grande campanha de web skimming em atividade desde janeiro de 2022, que tem como alvo grandes redes de pagamento, como American Express, Diners Club, Discover, JCB Co., Ltd., Mastercard e UnionPay.
Segundo a empresa Silent Push, organizações corporativas que são clientes desses provedores de pagamento são as mais vulneráveis a serem afetadas.
Web skimming, ou digital skimming, é um tipo de ataque do lado do cliente em que criminosos comprometem sites legítimos de e-commerce e portais de pagamento para injetar códigos maliciosos em JavaScript.
Esses scripts coletam discretamente dados sensíveis, como números de cartão de crédito e informações pessoais, durante o checkout, sem que os usuários percebam.
Esses ataques são classificados dentro da categoria Magecart, que inicialmente agrupava grupos cibercriminosos focados em sites que utilizavam a plataforma Magento, mas depois expandiram suas atividades para diversas outras soluções e plataformas.
A Silent Push descobriu a campanha ao analisar um domínio suspeito vinculado ao antigo provedor de hosting resistente a remoções Stark Industries e sua empresa-mãe PQ.Hosting.
Como estratégia para driblar sanções, esse provedor rebatizou-se como THE[.]Hosting, sob o controle da empresa holandesa WorkTitans B.V.
O domínio investigado, cdn-cookie[.]com, hospeda scripts JavaScript altamente ofuscados — como "recorder.js" e "tab-gtm.js" — que são carregados por lojas virtuais para viabilizar o roubo de dados de cartões.
O skimmer possui mecanismos sofisticados para evitar ser detectado pelos administradores dos sites.
Por exemplo, ele verifica no Document Object Model (DOM) a existência de um elemento chamado "wpadminbar", a barra de ferramentas presente em sites WordPress quando administradores ou usuários autorizados estão logados.
Se esse elemento for identificado, o script ativa um processo de autodestruição e se remove da página.
Além disso, o skimmer monitora se o método de pagamento Stripe foi selecionado.
Caso positivo, ele verifica um item chamado "wc_cart_hash" no localStorage do navegador.
Quando esse item não existe, o skimmer cria uma forma de pagamento fraudulenta que substitui a interface legítima do Stripe, induzindo a vítima a inserir dados do cartão, data de validade e código de segurança (CVC).
Após o usuário preencher o formulário falso, a página exibe uma mensagem de erro simulando que os dados foram digitados incorretamente.
Isso reforça o engano, levando a vítima a tentar novamente e permitindo que o skimmer capture as informações.
Mais do que detalhes de pagamento, o código malicioso coleta nomes, telefones, e-mails e endereços de entrega.
Esses dados são enviados, por meio de requisição HTTP POST, para o servidor "lasorie[.]com".
Depois da transmissão, o skimmer apaga seus rastros no checkout, removendo o formulário falso e restaurando o verdadeiro do Stripe.
Ele também define o "wc_cart_hash" como "true" para impedir que o ataque ocorra novamente para a mesma vítima.
A Silent Push destaca que esse atacante possui conhecimento avançado sobre o funcionamento interno do WordPress, utilizando recursos pouco conhecidos para sofisticar sua cadeia de ataque.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...