Uma campanha recente de skimming na web da Magecart está usando três técnicas de ocultação, inclusive ocultando o código malicioso na página de erro ‘404’ do site alvo, alertam os pesquisadores de segurança da Akamai.
Ativos desde pelo menos 2015, os hackers Magecart são conhecidos por colocar skimmers digitais em sites comprometidos, para roubar cartões de crédito e informações pessoais dos visitantes.
Após uma série de incidentes de grande repercussão em 2018, o número de ataques atribuídos aos skimmers aumentou e vários grupos de hackers começaram a operar sob a égide do Magecart.
Nas últimas semanas, relata a Akamai, um dos grupos Magecart tem operado um campanha sofisticada e secreta visando vários websites, incluindo os de grandes organizações dos setores alimentar e retalhista, utilizando diversas técnicas para impedir a deteção.
No geral, a campanha segue um padrão típico do Magecart, começando com a exploração de vulnerabilidades nos sites alvo ou em seus provedores de serviços para injetar trechos de código maliciosos responsáveis por carregar código JavaScript projetado para roubar informações dos usuários e, em seguida, enviar os dados aos invasores.
A análise do ataque da Akamai, no entanto, descobriu três variações da campanha, duas das quais eram em sua maioria semelhantes, exceto por algumas modificações no carregador, e uma na qual os invasores modificaram as páginas de erro 404 padrão dos sites das vítimas para ocultar seu código malicioso.
A primeira variação, explica Akamai, dependia de uma tag de imagem HTML malformada com um vazio fonte atributo para ignorar scanners de rede e acionar a execução do código dentro do contexto da página. O código cria um canal WebSocket para comunicação secreta com o servidor de comando e controle (C&C).
A segunda variação da campanha usa um trecho de código muito semelhante ao código Meta Pixel, para fazer com que pareça legítimo. O código buscaria uma imagem PNG de um local remoto, que então extraísse e executasse um carregador como o presente na variação anterior.
A terceira variação também usava um carregador semelhante, às vezes disfarçado de código Meta Pixel, mas que enviava uma solicitação de busca para um caminho relativo que não existia, levando à página de erro “404 Not Found” do site.
Nesta página, os invasores esconderam uma string que representa todo o código de ataque JavaScript ofuscado, projetado para roubar informações dos visitantes.
“Simulamos solicitações adicionais para caminhos inexistentes e todas retornaram a mesma página de erro 404 contendo o comentário com o código malicioso codificado. Essas verificações confirmam que o invasor alterou com sucesso a página de erro padrão de todo o site e ocultou o código malicioso dentro dela”, observa Akamai.
Ademais, esta variação de campanha também utilizou uma técnica diferente de exfiltração de dados, contando com um formulário falso sobreposto ao formulário de pagamento original.
“Quando o usuário envia dados para o formulário falso do invasor, um erro é apresentado, o formulário falso é ocultado, o formulário de pagamento original é exibido e o usuário é solicitado a inserir novamente seus dados de pagamento”, explica Akamai.