Um invasor sob o guarda-chuva Magecart infectou um número desconhecido de sites de comércio eletrônico nos EUA, Reino Unido e cinco outros países com malware para clonar números de cartão de crédito e informações de identificação pessoal (PII) pertencentes a pessoas que fazem compras nesses sites. Mas, em uma nova ruga, o agente da ameaça também está usando os mesmos sites como hosts para entregar o malware de clonagem de cartão a outros sites de destino.
Pesquisadores da Akamai que viu a campanha em andamento, observe que isso não apenas torna a campanha diferente da atividade anterior do Magecart, mas também é muito mais perigosa.
Eles avaliam que os ataques cibernéticos já duram pelo menos um mês e já afetaram potencialmente dezenas de milhares de pessoas. A Akamai disse que, além dos EUA e do Reino Unido, detectou sites afetados pela campanha no Brasil, Espanha, Estônia, Austrália e Peru.
Roubo de cartão de pagamento e mais: um compromisso duplo
Magecart é um coletivo frouxo de grupos cibercriminosos envolvidos em ataques de clonagem de cartões de pagamento online. Nos últimos anos, esses grupos injetaram seus skimmers de cartão homônimos em dezenas de milhares de sites em todo o mundo - incluindo sites como TicketMaster e British Airways – e roubaram milhões de cartões de crédito deles, que eles monetizaram de diferentes maneiras.
A Akamai contou ataques Magecart em 9,200 sites de comércio eletrônico no ano passado, dos quais 2,468 permaneceram infectados até o final de 2022.
O típico modus operandi para esses grupos tem sido injetar sub-repticiamente código malicioso em sites legítimos de comércio eletrônico - ou em componentes de terceiros, como rastreadores e carrinhos de compras - que os sites usam, explorando vulnerabilidades conhecidas. Quando os usuários inserem informações de cartão de crédito e outros dados confidenciais na página de checkout de sites comprometidos, os skimmers interceptam silenciosamente os dados e os enviam para um servidor remoto. Até agora, os invasores visaram principalmente sites que executam a plataforma de comércio eletrônico Magento de código aberto em ataques Magecart.
A campanha mais recente é um pouco diferente, pois o invasor não está apenas injetando um skimmer de cartão Magecart nos sites-alvo, mas também está sequestrando muitos deles para distribuir código malicioso.
“Uma das principais vantagens de utilizar domínios de sites legítimos é a confiança inerente que esses domínios construíram ao longo do tempo”, de acordo com a análise da Akamai. “Serviços de segurança e sistemas de pontuação de domínio geralmente atribuem níveis de confiança mais altos a domínios com um histórico positivo e um histórico de uso legítimo. Como resultado, atividades maliciosas realizadas nesses domínios têm uma chance maior de não serem detectadas ou de serem tratadas como benignas por sistemas de segurança automatizados.”
Além disso, o invasor por trás da operação mais recente também atacou sites que executam não apenas Magento, mas outros softwares, como WooCommerce, Shopify e WordPress.
Uma Abordagem Diferente, Mesmo Resultado
“Uma das partes mais notáveis da campanha é a maneira como os invasores configuram sua infraestrutura para conduzir a campanha de clonagem na web”, escreveu Roman Lvovsky, pesquisador da Akamai, na postagem do blog. “Antes que a campanha comece a sério, os invasores procurarão sites vulneráveis para atuar como 'hosts' para o código malicioso que é usado posteriormente para criar o ataque de clonagem na web”.
A análise da campanha da Akamai mostrou o invasor usando vários truques para ofuscar a atividade maliciosa. Por exemplo, em vez de injetar o skimmer diretamente em um site de destino, a Akamai descobriu que o invasor injetava um pequeno trecho de código JavaScript em suas páginas da Web que buscava o skimmer malicioso de um site host.
O invasor projetou o carregador de JavaScript para se parecer com o Gerenciador de tags do Google, o código de rastreamento do pixel do Facebook e outros serviços legítimos de terceiros, tornando-o difícil de detectar. O operador da campanha semelhante ao Magecart em andamento também usa a codificação Base64 para ofuscar as URLs de sites comprometidos que hospedam o skimmer.
“O processo de exfiltração dos dados roubados é executado por meio de uma solicitação HTTP direta, iniciada pela criação de uma tag IMG no código do skimmer”, escreveu Lvovsky. “Os dados roubados são anexados à solicitação como parâmetros de consulta, codificados como uma string Base64.”
Como um detalhe sofisticado, a Akamai também encontrou um código no malware skimmer que garantiu que ele não roubasse o mesmo cartão de crédito e informações pessoais duas vezes.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoAiStream. Inteligência de Dados Web3. Conhecimento Amplificado. Acesse aqui.
- Cunhando o Futuro com Adryenn Ashley. Acesse aqui.
- Compre e venda ações em empresas PRE-IPO com PREIPO®. Acesse aqui.
- Fonte: https://www.darkreading.com/attacks-breaches/different-kind-magecart-card-skimming-campaign
- :tem
- :é
- :não
- $UP
- 200
- 2022
- 9
- a
- Segundo
- Aja
- atividades
- atividade
- Adição
- vantagens
- Akamai
- já
- tb
- an
- análise
- e
- abordagem
- AS
- At
- ataque
- Atacante
- Ataques
- Australia
- Automatizado
- torna-se
- sido
- antes
- atrás
- ser
- Blog
- Brazil
- construído
- mas a
- by
- Campanha
- CAN
- cartão
- Cartões
- chance
- Finalizar compra
- código
- Collective
- componentes
- Comprometido
- Conduzir
- conduzido
- países
- crio
- Criar
- crédito
- cartão de crédito
- Cartões de crédito
- ataques cibernéticos
- CIBERCRIMINAL
- Perigoso
- dados,
- entregando
- projetado
- detalhe
- DID
- diferente
- diretamente
- distribuir
- domínio
- domínios
- duplo
- e-commerce,
- final
- Entrar
- Estônia
- Éter (ETH)
- exemplo
- executado
- longe
- Buscou
- Escolha
- encontrado
- da
- vai
- Do grupo
- Queijos duros
- Ter
- superior
- história
- hospedeiro
- hospedagem
- anfitriões
- http
- HTTPS
- in
- Incluindo
- aumentou
- INFORMAÇÕES
- Infraestrutura
- inerente
- injetável
- em vez disso
- para dentro
- envolvido
- IT
- ESTÁ
- JavaScript
- jpg
- apenas por
- Tipo
- conhecido
- Sobrenome
- Ano passado
- mais tarde
- mais recente
- mínimo
- legítimo
- níveis
- como
- carregador
- olhar
- parece
- FAZ
- Fazendo
- malwares
- Gerente
- muitos
- milhões
- Mês
- mais
- a maioria
- múltiplo
- Novo
- notável
- número
- números
- of
- on
- ONE
- contínuo
- online
- aberto
- open source
- operação
- operador
- or
- Outros
- Acima de
- página
- parâmetros
- peças
- passado
- pagamento
- Pessoas
- pessoal
- Pessoalmente
- Peru
- Pii
- pixels
- plataforma
- platão
- Inteligência de Dados Platão
- PlatãoData
- positivo
- Publique
- potencialmente
- principalmente
- primário
- Prévio
- processo
- compras
- registro
- permaneceu
- remoto
- solicitar
- investigador
- pesquisadores
- resultar
- corrida
- s
- Dito
- mesmo
- marcar
- segurança
- sistemas de segurança
- Buscar
- enviar
- sensível
- Serviços
- conjunto
- vários
- Shopify
- minha
- mostrou
- Locais
- skimmers
- desnatação
- ligeiramente diferente
- pequeno
- So
- até aqui
- Software
- sofisticado
- fonte
- Espanha
- Spot
- começo
- roubado
- franco
- Tanga
- tal
- sistemas
- TAG
- Target
- visadas
- dezenas
- que
- A
- roubo
- deles
- Eles
- então
- Este
- deles
- De terceiros
- isto
- milhares
- ameaça
- Através da
- tempo
- para
- pista
- Trackers
- Rastreamento
- Confiança
- Twice
- típico
- tipicamente
- Uk
- para
- desconhecido
- us
- usar
- usava
- usuários
- utilização
- Utilizando
- vulnerabilidades
- Vulnerável
- Caminho..
- maneiras
- web
- Site
- sites
- quando
- qual
- QUEM
- precisarão
- de
- dentro
- WordPress
- no mundo todo
- ano
- anos
- zefirnet
