Pesquisadores de cibersegurança estão alertando sobre uma nova campanha sigilosa de skimmer de cartão de crédito que visa páginas de checkout de comércio eletrônico no WordPress, inserindo código JavaScript malicioso em uma tabela de banco de dados associada ao sistema de gerenciamento de conteúdo (CMS).
"Este malware skimmer de cartão de crédito direcionado a sites WordPress injeta silenciosamente JavaScript malicioso em entradas de banco de dados para roubar detalhes de pagamento sensíveis", disse a pesquisadora da Sucuri, Puja Srivastava, em uma nova análise.
O malware ativa especificamente em páginas de checkout, seja sequestrando campos de pagamento existentes ou injetando um formulário falso de cartão de crédito.
A empresa de segurança de sites, que é propriedade da GoDaddy, disse que descobriu o malware embutido na tabela wp_options do WordPress com a opção "widget_block", permitindo assim evitar a detecção por ferramentas de varredura e persistir em sites comprometidos sem atrair atenção.
Ao fazer isso, a ideia é inserir o JavaScript malicioso em um widget de bloco HTML através do painel de administração do WordPress (wp-admin > widgets).
O código JavaScript funciona verificando se a página atual é uma página de checkout e garante que ele entre em ação apenas após o visitante do site estar prestes a inserir os detalhes do pagamento, momento no qual ele cria dinamicamente uma tela de pagamento falsa que imita processadores de pagamento legítimos como Stripe.
O formulário é projetado para capturar números de cartões de crédito dos usuários, datas de expiração, números CVV e informações de cobrança.
Alternativamente, o script malicioso também é capaz de capturar dados inseridos em telas de pagamento legítimas em tempo real para maximizar a compatibilidade.
Os dados roubados são subsequentemente codificados em Base64 e combinados com criptografia AES-CBC para fazer parecerem inofensivos e resistir a tentativas de análise.
Na etapa final, eles são transmitidos para um servidor controlado pelo atacante ("valhafather[.]xyz" ou "fqbe23[.]xyz").
O desenvolvimento vem mais de um mês depois que a Sucuri destacou uma campanha similar que aproveitava malware JavaScript para criar dinamicamente formas falsas de cartão de crédito ou extrair dados inseridos em campos de pagamento em páginas de checkout.
As informações colhidas são então submetidas a três camadas de ofuscação codificando-as primeiro como JSON, criptografando-as com XOR com a chave "script" e, finalmente, usando codificação Base64, antes da exfiltração para um servidor remoto ("staticfonts[.]com").
"O script é projetado para extrair informações sensíveis de cartão de crédito de campos específicos na página de checkout", observou Srivastava.
Então o malware coleta dados adicionais do usuário através das APIs do Magento, incluindo o nome, endereço, email, número de telefone e outras informações de cobrança do usuário.
Esses dados são recuperados por meio dos modelos de dados do cliente e cotação do Magento.
A divulgação também segue a descoberta de uma campanha de phishing financeiramente motivada, que engana os destinatários a clicarem em páginas de login do PayPal, sob o pretexto de um pedido de pagamento pendente quase no valor de US$2.200.
"O golpista parece ter simplesmente registrado um domínio de teste do Microsoft 365, que é gratuito por três meses, e então criou uma lista de distribuição (Billingdepartments1[@]gkjyryfjy876.onmicrosoft.com) contendo e-mails das vítimas", disse Carl Windsor da Fortinet FortiGuard Labs.
No portal web do PayPal, eles simplesmente solicitam o dinheiro e adicionam a lista de distribuição como o endereço.
O que torna a campanha sorrateira é o fato de que as mensagens se originam de um endereço legítimo do PayPal ([email protected]) e contêm uma URL genuína de login, o que permite que os e-mails passem pelas ferramentas de segurança.
Para piorar as coisas, assim que a vítima tenta fazer login na sua conta do PayPal sobre a solicitação de pagamento, sua conta é automaticamente vinculada ao endereço de email da lista de distribuição, permitindo que o ator de ameaça assuma o controle da conta.
Nas últimas semanas, atores maliciosos também foram observados aproveitando uma técnica inovadora chamada spoofing de simulação de transação para roubar criptomoedas de carteiras de vítimas.
"As modernas carteiras Web3 incorporam simulação de transação como um recurso amigável ao usuário," disse Scam Sniffer.
Essa capacidade permite aos usuários pré-visualizar o resultado esperado de suas transações antes de assiná-las.
Embora projetado para aumentar a transparência e a experiência do usuário, os atacantes encontraram maneiras de explorar esse mecanismo.
As cadeias de infecção envolvem aproveitar o intervalo de tempo entre a simulação de transação e a execução, permitindo aos atacantes configurar sites falsos que imitam aplicativos descentralizados (DApps) para realizar ataques fraudulentos de drenagem de carteira.
"Esse novo vetor de ataque representa uma evolução significativa nas técnicas de phishing," disse o provedor de solução anti-scam Web3.
"Em vez de depender apenas de engano simples, os atacantes estão agora explorando recursos de carteira confiáveis em que os usuários confiam para segurança. Essa abordagem sofisticada torna a detecção particularmente desafiadora."
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...