Pesquisadores de segurança cibernética localizaram uma nova campanha contínua de web skimmer, no estilo do grupo cibercriminoso Magecart, projetada para roubar informações de identificação pessoal (PII) e dados de cartão de crédito de sites de comércio eletrônico. Web skimmer geralmente é um código JavaScript malicioso incorporado a páginas de pagamento da web para executar o skimming, a fraude eletrônica.
Um aspecto que o diferencia de outras campanhas do Magecart é que os sites sequestrados servem ainda como servidores de comando e controle (C&C) “improvisados”, usando a cobertura para facilitar a distribuição de código malicioso sem o conhecimento dos sites das vítimas.
A empresa de segurança da web Akamai disse que identificou vítimas de vários tamanhos na América do Norte, América Latina e Europa, o que potencialmente coloca os dados pessoais de milhares de visitantes de sites de e-commerce em risco de serem coletados e vendidos.
“Os invasores empregam várias técnicas de evasão durante a campanha, incluindo ofuscar usando o método de codificação de dados Base64 e mascarar o ataque para se assemelhar a serviços populares de terceiros, como Google Analytics ou Google Tag Manager”, disse Roman Lvovsky, pesquisador de segurança da Akamai.
A ideia, em outras palavras, é violar sites legítimos vulneráveis e usá-los para hospedar o código do web skimmer, aproveitando assim a boa reputação dos domínios genuínos a seu favor. Em alguns casos, os ataques já duram quase um mês.
“Em vez de usar o próprio servidor C&C para hospedar código malicioso, que pode ser sinalizado como um domínio malicioso, os invasores invadem, usando vulnerabilidades ou qualquer outro meio à sua disposição, um site legítimo e vulnerável, como um site pequeno ou médio de varejista grande para esconder seu código dentro dele”, observou a Akamai.
O resultado dos ataques são dois tipos de vítimas: sites legítimos que foram comprometidos para atuar como um “centro de distribuição” de malware e sites de comércio eletrônico vulneráveis que são o alvo dos skimmers. Em alguns casos, os sites não apenas ficaram sujeitos a roubo de dados, mas também serviram involuntariamente como um veículo para espalhar o malware para outros sites suscetíveis.
“Este ataque incluiu a exploração dos sistemas web de e-commerce de código aberto Magento, WooCommerce, Shopify e o CMS WordPress, o que demonstra a crescente variedade de vulnerabilidades e plataformas de comércio digital abusivas”, disse Lvovsky.
Veja isso
Microsoft alerta para skimming oculto em imagens
Mais de 2 mil lojas virtuais no mundo estão sob ataque do Magecart
Aproveitando a confiança estabelecida que os sites conquistaram ao longo do tempo, a técnica cria uma “cortina de fumaça” que dificulta a identificação e a resposta a esses ataques. A campanha também adota outros métodos para evitar a detecção. Isso inclui camuflar o código do skimmer como serviços de terceiros, como Google Tag Manager ou Facebook Pixel, para ocultar suas verdadeiras intenções.
Outro truque empregado é a função de snippets de código JavaScript como carregadores para buscar o código de ataque completo do host da vítima, minimizando assim a pegada e a probabilidade de detecção. O código skimmer ofuscado, que vem em duas variantes diferentes, está equipado para interceptar e exfiltrar informações de identificação pessoal e detalhes de cartão de crédito como uma string codificada em uma solicitação HTTP para um servidor controlado por ator.
“A exfiltração acontecerá apenas uma vez para cada usuário que passar pelo checkout”, observou Lvovsky. “Depois que as informações de um usuário são roubadas, o script sinalizará o navegador para garantir que ele não roube as informações duas vezes [para reduzir o tráfego de rede suspeito]. Isso aumenta ainda mais a evasão desse ataque no estilo Magecart”, finalizou.