Uma nova campanha de hackers que roubam informações de cartões de crédito está agindo de forma diferente do que já vimos no passado, escondendo seu código malicioso dentro do módulo de pagamento 'Authorize' para o WooCommcerce, permitindo que o ataque evite a detecção por varreduras de segurança.
Historicamente, quando atores mal-intencionados invadem um site de comércio como o Magenta ou o WordPress executando o WooCommerce, eles injetam um JavaScript malicioso no HTML da loja ou nas páginas de checkout do cliente.
Esses scripts, então, roubam informações inseridas pelo cliente no checkout, como números de cartão de crédito, datas de validade, números CVV, endereços, números de telefone e endereços de e-mail.
No entanto, muitos comerciantes on-line agora trabalham com empresas de software de segurança que escaneiam o HTML de sites de comércio eletrônico públicos para encontrar scripts maliciosos, tornando mais difícil para os atores mal-intencionados ficarem ocultos.
Para evitar a detecção, os atores maliciosos estão injetando scripts maliciosos diretamente nos módulos de gateway de pagamento do site usados para processar pagamentos com cartão de crédito no checkout.
Como essas extensões geralmente são chamadas apenas após um usuário enviar seus detalhes de cartão de crédito e finalizar a compra na loja, pode ser mais difícil detectá-las com soluções de cibersegurança.
A campanha foi descoberta por especialistas em segurança de sites da Sucuri após serem chamados para investigar uma infecção incomum em um dos sistemas de seus clientes.
O WooCommerce é uma plataforma de comércio eletrônico popular para o WordPress, usada por cerca de 40% de todas as lojas on-line.
Para aceitar cartões de crédito no site, as lojas utilizam um sistema de processamento de pagamento, como o Authorize, um processador popular usado por 440.000 comerciantes em todo o mundo.
No site comprometido, a Sucuri descobriu que os atores mal-intencionados modificaram o arquivo "class-wc-authorize-net-cim.php", um dos arquivos da Authorize que suporta a integração do gateway de pagamento em ambientes WooCommerce.
O código injetado na parte inferior do arquivo verifica se o corpo da solicitação HTTP contém a string "wc-authorize-net-cim-credit-card-account-number", o que significa que ele carrega dados de pagamento depois que um usuário finaliza sua compra na loja.
Se sim, o código gera uma senha aleatória, criptografa os detalhes de pagamento da vítima com AES-128-CBC e os armazena em um arquivo de imagem que os atacantes recuperam posteriormente.
Uma segunda injeção realizada pelos atacantes está em "wc-authorize-net-cim.min.js", também um arquivo da Authorizenet.
O código injetado captura detalhes de pagamento adicionais dos elementos do formulário de entrada no site infectado, visando interceptar o nome da vítima, endereço de entrega, número de telefone e código postal.
Outro aspecto notável desta campanha é a discrição do skimmer e suas funções, o que torna particularmente difícil descobrir e erradicar, levando a períodos prolongados de exfiltração de dados.
Em primeiro lugar, o código malicioso foi injetado em arquivos legítimos do gateway de pagamento, então inspeções regulares que escaneiam o HTML público dos sites ou procuram adições de arquivos suspeitos não renderiam resultados.
Em segundo lugar, salvar detalhes de cartão de crédito roubados em um arquivo de imagem não é uma tática nova, mas a criptografia forte é um elemento novo que ajuda os atacantes a evitar a detecção.
Em casos anteriores, atores mal-intencionados armazenavam dados roubados em formato de texto simples, usavam codificação base64 fraca ou simplesmente transferiam as informações roubadas para os atacantes durante o checkout.
Em terceiro lugar, os atores mal-intencionados abusam da API do Heartbeat do WordPress para emular tráfego regular e misturá-lo com os dados de pagamento das vítimas durante a exfiltração, o que os ajuda a evitar a detecção de ferramentas de segurança que monitoram a exfiltração não autorizada de dados.
À medida que os atores MageCart evoluem suas táticas e cada vez mais atacam sites WooCommerce e WordPress, é essencial que proprietários e administradores de sites permaneçam vigilantes e apliquem medidas de segurança robustas.
Esta campanha recente descoberta pela Sukuri destaca a crescente sofisticação dos ataques de roubo de cartão de crédito e a engenhosidade dos atacantes em contornar a segurança.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...