Uma campanha de skimming de cartões, que é atribuída ao Magecart, esconde códigos maliciosos em páginas de erro 404 de sites de retalho online para furtar cartões de crédito
|
Uma nova campanha de skimming de cartões, atribuída ao Magecart, visa as páginas de erro 404 dos sites de retalhistas online, escondendo códigos maliciosos para furtar informações de cartões de crédito dos clientes. Para além desta técnica, o Akamai Security Intelligence Group observou outras duas variantes que escondem o código no atributo ‘onerror’ da tag de imagem HTML e uma imagem binária para o fazer aparecer como um trecho de código Meta Pixel. A campanha visa sites Magento e WooCommerce, estando alguns alvos associados a organizações renomadas dos setores de alimentação e retalho, segundo os investigadores. “Esta técnica de ocultação é altamente inovadora e algo que não vimos nas campanhas anteriores do Magecart”, diz o relatório da Akamai. “A ideia de manipular a página de erro 404 padrão de um site direcionado pode oferecer aos atores do Magecart várias opções criativas para melhorar a ocultação e a evasão”. O skimmer loader disfarça-se como um trecho de código Meta Pixel ou esconde-se em scripts embutidos aleatórios já presentes na página de checkout comprometida. O loader inicia uma solicitação de procura para um caminho relativo com o nome “icons”, porém, uma vez que este caminho não existe no site, a solicitação resulta num erro “404 Not Found”. Inicialmente, os investigadores da Akamai presumiram que o skimmer já não estava ativo ou que o grupo de cibercriminosos tinha cometido um erro de configuração. Após uma análise detalhada, averiguaram que o loader continha uma correspondência de expressão regular que procurava uma string específica no HTML retornado da página 404. Ao localizar a string na página, a Akamai encontrou uma string concatenada codificada em base64, que estava escondida num comentário. A decodificação desta string revelou o skimmer JavaScript, que estava oculto em todas as páginas 404. “Simulamos solicitações adicionais para caminhos inexistentes e todas retornaram a mesma página de erro 404 contendo o comentário com o código malicioso codificado”, explica Akamai. “Estas verificações confirmam que o invasor alterou com sucesso a página de erro padrão de todo o site e escondeu o código malicioso dentro dela”. Grande parte das ferramentas de segurança que monitorizam solicitações de rede suspeitas na página de checkout ignoravam a solicitação, uma vez que esta é feita para um caminho primário. |
Receba todas as novidades na sua caixa de correio!
