Uma sofisticada campanha do Magecart foi observada manipulando a página de erro 404 padrão dos sites para esconder código malicioso, no que tem sido descrito como a mais recente evolução dos ataques.
A atividade, segundo a Akamai, tem como alvo sites Magento e WooCommerce, com algumas vítimas pertencentes a grandes organizações nas indústrias alimentícia e de varejo.
"Nesta campanha, todos os sites vítimas que detectamos foram diretamente explorados, pois o trecho de código malicioso foi injetado em um de seus recursos de primeira parte", disse o pesquisador de segurança da Akamai, Roman Lvovsky, em uma análise de segunda-feira.
Isso envolve a inserção do código diretamente nas páginas HTML ou em um dos scripts de primeira parte que foram carregados como parte do site.
Os ataques são realizados por meio de uma cadeia de multi-estágios, em que o código do carregador recupera a carga útil principal durante o tempo de execução para capturar as informações sensíveis inseridas pelos visitantes nas páginas de checkout e exfiltrá-las para um servidor remoto.
"O propósito de dividir o ataque em três partes é ocultá-lo de forma que seja mais desafiador detectar", explicou Lvovsky.
"Isso torna o ataque mais discreto e mais difícil de ser detectado por serviços de segurança e ferramentas de varredura externas que possam estar presentes no site alvo."
"Isto permite a ativação do fluxo completo do ataque apenas nas páginas especificamente alvo; ou seja, devido às medidas de ofuscação usadas pelo atacante, a ativação do fluxo completo do ataque só pode ocorrer onde o atacante pretendeu que ele fosse executado."
O uso de páginas de erro 404 é uma das três variações da campanha, as outras duas ofuscam o código do skimmer em um atributo onerror de uma tag de imagem HTML malformada e como um script inline que se disfarça como o trecho de código Meta Pixel.
O falso código Meta Pixel, por sua vez, busca uma imagem PNG no próprio diretório do site que contém uma string codificada em Base64 anexada ao final do arquivo binário da imagem, que, quando decodificada, representa um pedaço de código JavaScript que se conecta a um domínio controlado pelo ator para recuperar a carga útil de segunda etapa.
"Este código é responsável por realizar várias atividades maliciosas na página sensível alvo, com o objetivo de ler os dados pessoais e de cartão de crédito do usuário e transmiti-los de volta ao servidor C2 do skimmer", disse Lvovsky.
Ambas as técnicas são projetadas para contornar medidas de segurança como análise estática e varredura externa, prolongando efetivamente a vida útil da cadeia de ataque.
No entanto, é a terceira variante do carregador que se destaca por sua técnica de ocultação incomum, aproveitando-se das páginas de erro padrão no site.
Aparecendo como um script inline ou um código Meta Pixel falso, ele envia uma solicitação GET para uma URL inexistente no site, desencadeando uma resposta "404 Not Found".
Esta resposta aponta para uma página de erro modificada que esconde o código do skimmer dentro dela.
O skimmer funciona superpondo um formulário de pagamento semelhante nas páginas de checkout para capturar os dados para a subsequente exfiltração na forma de uma string codificada em Base64.
"A ideia de manipular a página de erro 404 padrão de um site alvo pode oferecer aos atores do Magecart várias opções criativas para uma melhor ocultação e evasão", disse Lvovsky.
"A solicitação ao caminho de primeira parte que leva à página 404 é outra técnica de evasão que pode contornar cabeçalhos da Política de Segurança de Conteúdo e outras medidas de segurança que podem estar analisando ativamente as solicitações de rede na página."
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...