Milionários do mundo inteiro – inclusive do Brasil – que se cadastraram para ver e negociar imóveis de luxo da imobiliária britânica Sotheby’s, tiveram seus dados copiados por um skimmer que contaminou os cem sites da empresa. O ataque, numa campanha do tipo “cadeia de suprimentos” descoberto pela Palo Alto Networks, infectou 108 sites da imobiliária, que é especializada em imóveis de luxo. Cada site é criado pela imobiliária para destacar um imóvel de características excepcioinais. A lista dos endereços pode ser encontrada em ‘github.com/pan-unit42/iocs/blob/master/Skimmer_IOC.txt’
A imobiliária pertence ao grupo do mesmo nome que tem, entre outros empreendimentos, uma casa de leilões fundada em 1744. A divisão imobiliária, fundada em 1976, comercializa imóveis no mundo inteiro e neste momento tem no seu cadastro 622 em endereços do Brasil. O skimmer foi plantado num player do provedor de vídeo em nuvem Brightcove, que tem sede em Boston (Massachusetts) e filiais em sete países, inclusive na Inglaterra. Ao utilizarem o player do provedor, os clientes como a Sotheby’s foram contaminados com o skimmer.
Veja isso
Novo skimmer JavaScript ataca sites de e-commerce
Site da Tupperware foi comprometido com card skimmer
Muitos dos sites comprometidos agora estão desativados, mas uma olhada em alguns deles mostra o uso intenso de vídeo para exibir as propriedades. De acordo com a Brightcove, o vídeo malicioso em questão estava em armazenamento de terceiros, e os próprios sistemas da Brightcove não teriam sido comprometidos.
Uma análise do código do skimmer feita pelos especialistas da Palo Alto Networks mostrou que ele coleta as informações digitadas pelas vítimas nas páginas de contato, quando solicitam a detalhes ou visita a um imóvel, o que inclui seus nomes, e-mails e números de telefone. Em seguida, o skimmer envia os dados para um servidor de coleta malicioso (https: // cdn-imgcloud [.] Com / img), hospedado em uma rede de distribuição de conteúdo. As informações podem ser usadas para ataques de phishing e outros de engenharia social.
Abusar de uma instância de vídeo não é difícil, observaram os pesquisadores. Depois de se inscrever para usar o criador de vídeo, qualquer usuário pode adicionar personalizações de JavaScript, enviando um arquivo JavaScript para ser incluído no player, disseram eles: “Neste caso específico, o usuário carregou um script que poderia ser modificado para incluir conteúdo malicioso. Inferimos que o invasor alterou o script estático, anexando o código do skimmer. Na próxima atualização do player, a plataforma de vídeo ingeriu novamente o arquivo comprometido e o serviu junto com o player contaminado”.
Com informações da assessoria de imprensa
