Pesquisadores de cibersegurança descobriram um skimmer de cartão de crédito escondido dentro de um script falso de rastreamento do Meta Pixel, numa tentativa de evadir detecção.
A Sucuri disse que o malware é injetado em websites por meio de ferramentas que permitem código personalizado, como os plugins do WordPress, como Simple Custom CSS e JS, ou a seção "Miscellaneous Scripts" do painel administrativo da Magento.
"Editores de script personalizado são populares entre atividades maliciosas porque permitem JavaScript externo de terceiros (e malicioso) e podem facilmente se passar por benignos ao utilizar convenções de nomes que correspondem a scripts populares como Google Analytics ou bibliotecas como JQuery," disse o pesquisador de segurança Matt Morrow.
O script falso de rastreador do Meta Pixel identificado pela companhia de segurança web contém elementos similares ao seu contraparte legítimo, mas um exame mais detalhado revela a adição de código JavaScript que substitui referências ao domínio "connect.facebook[.]net" por "b-connected[.]com."
Enquanto o primeiro é um domínio genuíno vinculado à funcionalidade de rastreamento Pixel, o domínio substituto é usado para carregar um script malicioso adicional ("fbevents.js") que monitora se uma vítima está em uma página de checkout e, se estiver, apresenta uma sobreposição fraudulenta para capturar os detalhes do cartão de crédito.
Vale ressaltar que "b-connected[.]com" é um site legítimo de e-commerce que foi comprometido em algum momento para hospedar o código do skimmer.
Além disso, as informações inseridas no formulário falso são exfiltradas para outro site comprometido ("www.donjuguetes[.]es").
Para mitigar tais riscos, recomenda-se manter os sites atualizados, revisar periodicamente as contas de administrador para determinar se todas são válidas e atualizar senhas com frequência.
Isso é particularmente importante já que os atores de ameaças são conhecidos por aproveitar senhas fracas e falhas em plugins do WordPress para obter acesso elevado a um site-alvo e adicionar usuários administradores fraudulentos, que são então usados para realizar diversas outras atividades, incluindo a adição de plugins adicionais e backdoors.
"Como os ladrões de cartão de crédito costumam esperar por palavras-chave como 'checkout' ou 'onepage', eles podem não se tornar visíveis até que a página de checkout seja carregada," disse Morrow.
Como a maioria das páginas de checkout são geradas dinamicamente com base em dados de cookie e outras variáveis passadas para a página, esses scripts evitam scanners públicos e a única maneira de identificar o malware é verificar o código-fonte da página ou monitorar o tráfego de rede.
Esses scripts funcionam silenciosamente em segundo plano."
O desenvolvimento surge enquanto a Sucuri também revelou que sites construídos com WordPress e Magento são o alvo de outro malware chamado Magento Shoplift.
Variantes anteriores do Magento Shoplift foram detectadas em liberação desde setembro de 2023.
A cadeia de ataque começa com a injeção de um trecho de JavaScript ofuscado em um arquivo legítimo de JavaScript que é responsável por carregar um segundo script de jqueurystatics[.]com via WebSocket Secure (WSS), que, por sua vez, é projetado para facilitar o skimming de cartão de crédito e roubo de dados enquanto se disfarça como um script do Google Analytics.
"O WordPress também se tornou um grande jogador em e-commerce, graças à adoção do Woocommerce e outros plugins que podem facilmente transformar um site do WordPress em uma loja online completamente funcional," disse a pesquisadora Puja Srivastava.
Essa popularidade também torna as lojas WordPress um alvo principal, e os atacantes estão modificando seu malware de e-commerce MageCart para atingir uma gama mais ampla de plataformas CMS.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...