Conforme o alerta das empresas RiskIQ e Flashpoint na semana passada, o esquema Magecart está mesmo atacando no Brasil: hoje o pesquisador Jerome Segura, da Malwarebytes, revelou que o site da Umbro Brasil está contaminado com dois scripts da família Magecart. E o pior: os dois estão disputando espaço. Isso significa em primeiro lugar que o site já foi hackeado duas vezes e que isso pode acontecer outras vezes. Quem quiser comprovar pode digitar a URL www.umbro.com.br no site check da Sucuri (https://sitecheck.sucuri.net) e verificar a contaminação.
O pesquisador alerta que a contaminação permite aos invasores surrupiar dados pessoais e números de cartões durante as transações online. Como o esquema é lucrativo, porque arrecada dados preciosos para venda na Dark Net, os cibercriminosos já disputam até mesmo os sites já invadidos. Esse é o caso do site da Umbro Brasil, que já tem dois scripts em ação. Há um deles que ao verificar a presença de outro script guarda o número do cartão de crédito inserido pela vítima e altera esse número na entrada de dados utilizada pelo outro script. Em outras palavras, um frauda o outro dentro do mesmo site, segundo Jerome Segura.
Ao se acessar o site, são carregados dois scripts: bootstrap-js[.]com e g-statistic[.]com. O segundo é que faz a sabotagem, alterando o último algarismo do cartão capturado pelo primeiro.
Pelos dados do site check da Sucuri pode-se ver que o site da Umbro Brasil utuiliza a plataforma de publicação Magento, que sofre constantes ataques sobre suas vulnerabilidades.
Magecart rouba cartões em 100 mil e-commerces (inclusive aqui)
