Skimmers de pagamento exploram falha em tags de imagem
18 de Fevereiro de 2025

Pesquisadores de cibersegurança identificaram uma campanha de malware voltada ao roubo de informações de cartões de crédito que tem como alvo sites de e-commerce rodando na plataforma Magento.

A campanha mascara o conteúdo malicioso dentro de tags de imagem no código HTML para permanecer indetectada.

MageCart é o nome dado a um malware capaz de furtar informações sensíveis de pagamento de sites de compras online.

Os ataques são conhecidos por empregar uma ampla gama de técnicas – tanto no lado do cliente quanto no servidor – para comprometer websites e implantar skimmers de cartão de crédito, facilitando o roubo.

Normalmente, tal malware é ativado ou carregado apenas quando os usuários visitam as páginas de checkout para inserir detalhes do cartão de crédito, seja apresentando um formulário falso ou capturando as informações inseridas pelas vítimas em tempo real.

O termo MageCart é uma referência ao alvo original desses grupos de cibercrime, a plataforma Magento, que oferece recursos de checkout e carrinho de compras para varejistas online.

Ao longo dos anos, tais campanhas adaptaram suas táticas, escondendo o código malicioso por meio de codificação e ofuscação em fontes aparentemente inofensivas, como imagens falsas, arquivos de áudio, favicons e até páginas de erro 404.

"Neste caso, o malware que afeta o cliente segue o mesmo objetivo — permanecer oculto", disse a pesquisadora da Sucuri, Kayleigh Martin.

"Ele faz isso disfarçando o conteúdo malicioso dentro de uma tag <img>, o que facilita sua omissão."

"É comum que tags <img> contenham strings longas, especialmente quando fazem referência a caminhos de arquivos de imagem ou imagens codificadas com Base64, junto com atributos adicionais como altura e largura."

A única diferença é que a tag <img>, neste caso, atua como um engodo, contendo conteúdo codificado em Base64 que aponta para código JavaScript ativado quando um evento onerror é detectado.

Isso torna o ataque muito mais astuto, pois o navegador confia intrinsecamente na função onerror.

"Se uma imagem falha ao carregar, a função onerror será acionada, fazendo o navegador mostrar um ícone de imagem quebrada", disse Martin.

"No entanto, neste contexto, o evento onerror é sequestrado para executar JavaScript em vez de apenas tratar o erro."

Além disso, o ataque oferece uma vantagem adicional aos atores de ameaças, visto que o elemento HTML <img> geralmente é considerado inofensivo.

O malware, por sua vez, verifica se o usuário está na página de checkout e aguarda que usuários desavisados cliquem no botão de envio para sifonar informações sensíveis de pagamento inseridas por eles para um servidor externo.

O script é projetado para inserir dinamicamente um formulário malicioso com três campos, Número do Cartão, Data de Expiração e CVV, com o objetivo de exfiltrá-lo para wellfacing[.]com.

"O ataque atinge dois objetivos impressionantes com este script malicioso: evitar detecção fácil por scanners de segurança, codificando o script malicioso dentro de uma tag <img>, e garantir que os usuários finais não percebam mudanças incomuns quando o formulário malicioso é inserido, permanecendo indetectado pelo maior tempo possível", disse Martin.

"O objetivo dos atacantes que têm como alvo plataformas como Magento, WooCommerce, PrestaShop e outras é permanecer indetectados pelo maior tempo possível, e o malware que eles injetam nos sites é frequentemente mais complexo que as peças de malware mais comumente encontradas afetando outros sites."

Este desenvolvimento ocorre enquanto a empresa de segurança de websites detalhou um incidente envolvendo um site WordPress que explorou o diretório de mu-plugins (ou plugins de uso obrigatório) para implantar backdoors e executar código PHP malicioso de maneira furtiva.

"Diferentemente de plugins regulares, os plugins de uso obrigatório são carregados automaticamente em cada carregamento de página, sem necessidade de ativação ou aparecer na lista padrão de plugins", disse Puja Srivastava.

"Os atacantes exploram esse diretório para manter persistência e evitar detecção, pois arquivos colocados aqui são executados automaticamente e não são facilmente desativados pelo painel de administração do WordPress."

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...