Pesquisadores de cibersegurança revelaram detalhes sobre uma nova campanha de skimming digital que utiliza técnicas de ofuscação Unicode para esconder um skimmer chamado de Mongolian Skimmer.
"À primeira vista, o que chamou atenção foi a ofuscação do script, que parecia um pouco bizarra por conta de todos os caracteres acentuados", disseram os pesquisadores da Jscrambler em uma análise.
O uso intenso de caracteres Unicode, muitos deles invisíveis, realmente torna o código muito difícil de ler para os humanos.
O script, em sua essência, foi encontrado utilizando a capacidade do JavaScript de usar qualquer caractere Unicode em identificadores para esconder a funcionalidade maliciosa.
O objetivo final do malware é roubar dados sensíveis inseridos nas páginas de checkout ou administração de e-commerce, incluindo informações financeiras, que são então exfiltrados para um servidor controlado pelo atacante.
O skimmer, que tipicamente se manifesta na forma de um script inline em sites comprometidos que buscam o payload real de um servidor externo, também tenta evitar análises e esforços de depuração desativando certas funções quando as ferramentas de desenvolvedor do navegador web são abertas.
"O skimmer utiliza técnicas bem conhecidas para garantir compatibilidade entre diferentes navegadores, empregando técnicas de manipulação de eventos tanto modernas quanto legadas", disse Pedro Fortuna da Jscrambler.
Isso garante que ele possa mirar numa ampla gama de usuários, independentemente da versão do navegador.
A empresa de proteção e conformidade do lado do cliente também observou o que descreveu como uma variante de loader "inusual" que carrega o script do skimmer apenas em instâncias onde eventos de interação do usuário, como rolagem, movimentos do mouse e touchstart, são detectados.
Essa técnica, acrescentou, pode servir tanto como uma medida anti-bot eficaz quanto uma maneira de garantir que o carregamento do skimmer não cause gargalos de desempenho.
Um dos sites Magento comprometidos para entregar o Mongolian Skimmer também foi dito ter sido alvo de um ator de skimmer separado, com os dois clusters de atividade utilizando comentários no código-fonte para interagir um com o outro e dividir os lucros.
"50/50 talvez?", comentou um dos atores de ameaça em 24 de Setembro de 2024.
Três dias depois, o outro grupo respondeu: "Concordo com 50/50, você pode adicionar seu código :)"
Então, em 30 de Setembro, o primeiro ator de ameaça respondeu, declarando "Tudo bem ) mas como posso entrar em contato com você? Você tem conta no exploit? [sic]", provavelmente referindo-se ao fórum de cibercrime Exploit.
"As técnicas de ofuscação encontradas neste skimmer podem parecer, para quem não é da área, como um novo método de ofuscação, mas não era o caso", observou Fortuna.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...