Uma nova campanha de roubo de cartão de crédito Magecart sequestra sites legítimos para agir como servidores de controle e comando (C2) "improvisados" para injetar e ocultar os skimmers em sites de comércio eletrônico direcionados.
Um ataque Magecart ocorre quando hackers invadem lojas online para injetar scripts maliciosos que roubam cartões de crédito e informações pessoais dos clientes durante o checkout.
De acordo com pesquisadores da Akamai que monitoram esta campanha, ela comprometeu organizações nos Estados Unidos, Reino Unido, Austrália, Brasil, Peru e Estônia.
A empresa de segurança cibernética também destaca que muitas das vítimas não perceberam que foram invadidas por mais de um mês, o que é um testemunho da furtividade desses ataques.
O primeiro passo dos atacantes é identificar sites legítimos vulneráveis e hackeá-los para hospedar seu código malicioso, usando-os como servidores C2 para seus ataques.
Distribuindo os skimmers de cartão de crédito usando sites legítimos com boa reputação, os atores ameaçadores evitam detecção e bloqueios e são liberados da necessidade de configurar sua própria infraestrutura.
Em seguida, os atacantes passam a injetar um pequeno trecho de código JavaScript nos sites de comércio eletrônico de destino que busca o código malicioso dos sites comprometidos anteriormente.
"Embora não esteja claro como esses sites estão sendo invadidos, com base em nossa pesquisa recente de campanhas semelhantes anteriores, os atacantes geralmente procurarão vulnerabilidades na plataforma de comércio digital dos sites direcionados (como Magento, WooCommerce, WordPress, Shopify, etc.) ou em serviços de terceiros vulneráveis usados pelo site", explica a Akamai no relatório.
Para aumentar a furtividade do ataque, os atores ameaçadores obfuscaram o skimmer com codificação Base64, que também oculta a URL do host, e construíram sua estrutura de maneira que se assemelha à do Google Tag Manager ou do Facebook Pixel, que são serviços de terceiros populares e improváveis de levantar suspeitas.
A Akamai relata ter visto duas variantes do skimmer usadas na campanha em particular.
A primeira é uma versão altamente obfuscada contendo uma lista de seletores CSS que visam PII do cliente e detalhes do cartão de crédito.
Os seletores CSS eram diferentes para cada site direcionado, feitos sob medida para combinar com cada vítima.
A segunda variante de skimmer não estava tão bem protegida, expondo indicadores no código que ajudaram a Akamai a mapear o alcance da campanha e identificar vítimas adicionais.
Depois que os skimmers roubam os detalhes dos clientes, os dados são enviados ao servidor do atacante por meio de uma solicitação HTTP criada como uma tag IMG dentro do skimmer.
Uma camada de codificação Base64 é aplicada aos dados para obfuscá-los e minimizar a probabilidade de a vítima descobrir a invasão.
Os proprietários de sites podem se defender contra infecções Magecart protegendo adequadamente as contas de administração do site e aplicando atualizações de segurança para seus CMS e plugins.
Os clientes de lojas online podem minimizar o risco de exposição de dados usando métodos de pagamento eletrônico, cartões virtuais ou definindo limites de cobrança em seus cartões de crédito.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...