[ 187,826 page views, 63,177 usuários - média últimos 90 dias ] - [ 5.806 assinantes na newsletter, taxa de abertura 27% ]

Novo skimmer JavaScript ataca sites de e-commerce

Pesquisadores de segurança da Visa descobriram um novo tipo de malware que infectou as páginas de check-out online de pelo menos 17 sites de comércio eletrônico para roubar dados de cartões de crédito

e-commerce-3228418_640.jpg

Pesquisadores de segurança da Visa descobriram um novo tipo de skimmer (conhecido popularmente no Brasil como “chupa-cabra”) baseado em JavaScript que infectou as páginas de check-out online de pelo menos 17 sites de comércio eletrônico para roubar dados de cartões de crédito. O skimmer, recém-descoberto e apelidado de “Pipka”, tem capacidade de se autorremover do HTML de um site de pagamento comprometido após a execução, o que torna bastante difícil a sua detecção, de acordo com a Visa.

Os pesquisadores descobriram esse skimmer pela primeira vez em setembro, depois de ele ter infectado uma página de check-out de comércio eletrônico pertencente a uma empresa norte-americana, de acordo com um alerta da Visa. A página já havia sido alvo de outro skimmer de JavaScript chamado Inter, dizem os pesquisadores.

Depois de encontrar o Pipka pela primeira vez, os pesquisadores da Visa descobriram o skimmer em pelo menos 16 outras páginas de check-out em sites de comércio eletrônico. Como ocorre com outros skimmers, o Pipka foi projetado para extrair o número da conta do cartão de crédito, a data de validade, o código de verificação, bem como o nome e o endereço do titular do cartão, de acordo com o relatório.

Os criadores do Pipka incorporaram a técnica de autorremoção como uma camada extra de defesa contra softwares de segurança. A técnica de autorremoção não é nova e já foi usada em malware binário (projetado para infectar computadores) antes. No entanto, esta é a primeira vez que se verifica um malware de JavaScript empregar a técnica de autorremoção, o que o torna único, segundo os pesquisadores da Visa.

Ataques de skimmer

Embora os skimmers de cartão de crédito geralmente confiem no hardware instalado no ponto de venda ou nos caixas eletrônicos (ATMs), o JavaScript malicioso usado para vasculhar cartões de crédito nos sites de pagamento é uma abordagem muito mais lucrativa e uma preocupação crescente entre lojas online.

Esses tipos de skimmers virtuais, também chamados skimmers de JavaScript, sniffers de JavaScript ou sniffers de JS, podem ser adquiridos de forma barata em sites “subterrâneos”. No entanto, os pesquisadores da Visa não encontraram evidências de que o Pipka esteja disponível para venda ou aluguel na dark web.

Os pesquisadores da Visa também não atribuem o ataque pelo Pipka a um grupo específico de criminosos cibernéticos. Outras equipes de pesquisadores de segurança, como a do RiskIQ, atribuem o aumento desse tipo de ataque à Magecart, uma organização global composta por cerca de uma dúzia de grupos criminosos que estão cada vez mais ativos no último ano, visando sites de comércio eletrônico.

Somente no ano passado, a RiskIQ diz que 18 mil domínios de sites foram violados usando o código Magecart. Algumas das empresas alvo desses ataques foram a British Airways, Ticketmaster e a Newegg.

Em setembro, um pesquisador de segurança descobriu ataques de roubo de cartão de crédito contra sites que usam uma plataforma de pagamento baseada em nuvem da Volusion. Um dos sites direcionados durante esses ataques é o Sesame Street Live, que possui uma função de checkout hospedada na plataforma Volusion. A Visa sugere que os sites de comércio eletrônico executem verificações mais frequentes de suas páginas de checkout para verificar se algum código está tentando se comunicar com servidores de comando e controle conhecidos. Com agências de notícias internacionais.