Pesquisadores de segurança alertam que hackers estão explorando a ferramenta Analytics do Google para furtivamente roubar informações de cartão de crédito de sites de comércio eletrônico infectados.
De acordo com vários relatórios de empresas como a PerimeterX, Kaspersky e Sansec, os operadores de ameaças agora estão injetando código de roubo de dados em sites comprometidos, em combinação com o código de rastreamento gerado pelo Google Analytics, para filtrar informações de pagamento, mesmo em condições em que as políticas de segurança de conteúdo são aplicadas para segurança máxima na web.
“Os invasores injetam código malicioso nos sites para coletar todos os dados inseridos pelos usuários e os enviam pelo Analytics”, diz a Kaspersky em um relatório publicado na segunda-feira, 22. “Como resultado, os invasores podem acessar os dados roubados em suas contas no Google Analytics.”
A empresa de segurança cibernética disse ter encontrado cerca de duas dúzias de sites infectados na Europa e América do Norte e do Sul especializados na venda de equipamentos digitais, cosméticos, produtos alimentícios e peças de reposição.
Ignorando a política de segurança
O ataque se baseia na premissa de que sites de comércio eletrônico que usam a ferramenta de análise de operações na web do Google para rastrear visitantes incluíram os domínios associados em sua política de segurança de conteúdo (CSP). O CSP é uma medida de segurança adicional que ajuda a detectar e mitigar ameaças decorrentes de vulnerabilidades de script entre sites e outras formas de ataques de injeção de código, incluindo aquelas adotadas por vários grupos de cibercriminosos que usam o Magecart, um esquema de captura de cartões que já está implantado em pelo menos 100 mil endereços de e-commerce no mundo inteiro, inclusive no Brasil.
O recurso de segurança permite que os webmasters definam um conjunto de domínios com os quais o navegador da web deve interagir para uma URL específica, impedindo a execução de código não confiável. “A fonte do problema é que o sistema de regras da CSP não é granular o suficiente”, disse Amir Shaked, vice-presidente de pesquisa da PerimeterX, em entrevista ao site The Hacker News. “O reconhecimento e a interrupção da solicitação JavaScript maliciosa requer soluções avançadas de visibilidade que podem detectar o acesso e a extração de dados confidenciais do usuário [nesse caso, o endereço de e-mail e a senha do usuário].”
Veja isso
Código do Ghostdns mira clientes de 11 bancos no Brasil
Hacker vaza código-fonte da AMD se não receber US$ 100 mi
Para coletar dados usando essa técnica, basta um pequeno pedaço de código JavaScript que transmite os detalhes coletados, como credenciais e informações de pagamento, por meio de um evento e outros parâmetros que o Google Analytics usa para identificar exclusivamente as diferentes ações executadas em um site.
“Os administradores gravam *.google-analytics.com no cabeçalho política de segurança de conteúdo [usado para listar recursos dos quais códigos de terceiros podem ser baixados], permitindo que o serviço colete dados. Além disso, o ataque pode ser implementado sem baixar código de fontes externas”, observa a Kaspersky.
Para tornar os ataques mais secretos, os invasores também verificam se o modo de desenvolvedor — um recurso que costuma ser usado para detectar solicitações de rede e erros de segurança, entre outras coisas — está ativado no navegador do visitante e prossegue apenas se o resultado dessa verificação for negativo.
Uma campanha “nova” desde março
Em um relatório separado divulgado na segunda-feira, 22, a Sansec, da Holanda, que rastreia ataques digitais, descobriu uma campanha semelhante desde 17 de março que instalou código malicioso em várias lojas usando um código JavaScript hospedado no Firebase do Google.
Por ofuscação, o ator por trás da operação criou um iFrame temporário para carregar uma conta do Google Analytics controlada pelo invasor. Os dados do cartão de crédito inseridos nas formas de pagamento são criptografados e enviados ao console de análise de onde são recuperados usando a chave de criptografia usada anteriormente.
Dado o uso generalizado do Google Analytics nesses ataques, contramedidas como CSP não funcionarão se os invasores aproveitarem um domínio já permitido para sequestrar informações confidenciais. “Uma solução possível viria de URLs adaptáveis, adicionando ID como parte da URL ou subdomínio para permitir aos administradores definir regras CSP que restringem a exfiltração de dados a outras contas”, concluiu Shaked.
Infelizmente, não há muito o que o usuário possa fazer para se proteger de ataques de quebra de formulário. A ativação do modo de desenvolvedor nos navegadores pode ajudar ao fazer compras online. Mas é essencial que esteja atento a quaisquer casos de compras não autorizadas ou roubo de identidade.