Uma nova campanha de skimming de cartão do Magecart sequestra páginas de sites de varejistas online que retornam com “Error 404”, que ocultam código malicioso, para roubar as informações de cartão de crédito dos clientes. Error 404 é um código de resposta HTTP que indica que a página da web que não existe, foi removida ou tem um link morto/quebrado.
Já skimming — também chamado de formjacking — é um tipo de ataque digital a aplicativos da web, sites e aplicativos móveis que contêm código JavaScript comprometido. O código malicioso dá aos invasores acesso irrestrito a dados confidenciais. O tipo mais conhecido de ataque de skimming digital é chamado de Magecart.
Essa técnica é uma das três variantes observadas por pesquisadores do Akamai Security Intelligence Group, com as outras duas ocultando o código no atributo ‘onerror’ da tag de imagem HTML e um binário de imagem para fazê-lo aparecer como o trecho de código Meta Pixel.
A Akamai diz que a campanha se concentra em sites que utilizam o sistema de código aberto Magento, baseado em PHP e MySQL, e no plugin open source de e-commerce WooCommerce para WordPress, com algumas vítimas ligadas a organizações renomadas nos setores de alimentos e varejo. Todos os sites apresentam páginas de Error 404 que são exibidas aos visitantes ao acessar uma página.
Os operadores do Magecart aproveitam a página padrão “404 Not Found” para ocultar e carregar o código malicioso de roubo de cartão, o que não foi verificado em campanhas anteriores. “Esta técnica de ocultação é altamente inovadora e algo que não vimos em campanhas anteriores da Magecart”, diz o relatório da Akamai. “A ideia de manipular a página de Error 404 de um site direcionado pode oferecer várias opções criativas ao operador do Magecart para melhorar a ocultação e a evasão.”
O carregador de skimmer se disfarça como um snippet de código Meta Pixel ou se esconde dentro de scripts embutidos aleatórios já presentes na página da web de checkout comprometida. O carregador inicia uma solicitação de busca para um caminho relativo chamado “ícones”, mas como esse caminho não existe no site, a solicitação resulta em um Error 404.
Veja isso
E-mail de phishing gerado por IA é quase impossível de detectar
Malware vem pré-instalado em 9 milhões de dispositivos Android
Os investigadores da Akamai inicialmente presumiram que o skimmer não estava mais ativo ou que o grupo Magecart havia cometido um erro de configuração. No entanto, após uma inspeção mais detalhada, descobriram que o carregador continha uma correspondência de expressão regular procurando uma cadeia de caracteres específica no HTML retornado da página 404.
Ao localizar a cadeia de caracteres na página, a Akamai encontrou uma cadeia de caracteres codificada em base 64 concatenada oculta em um comentário. A decodificação dessa cadeia de caracteres revelou o skimmer JavaScript, que se esconde em todas as páginas de Error 404. “Essas verificações confirmam que o invasor alterou com êxito a página de erro padrão de todo o site e ocultou o código mal-intencionado dentro dela”, disse a empresa. Como a solicitação é feita para um caminho primário, a maioria das ferramentas de segurança que monitoram solicitações de rede suspeitas na página de checkout a ignorariam.
Segundo a empresa de segurança cibernética e serviços em nuvem, o caso de manipulação de páginas de Error 404 destaca a evolução das táticas e a versatilidade dos operadores do Magecart, que continuamente tornam mais difícil para o webmaster localizar seu código malicioso em sites comprometidos e higienizá-los.