0
0
Especialistas detectaram um novo ataque de skimmer que usou uma técnica alternativa para exfiltrar informações de pagamento de cartões de pagamento.
Pesquisadores da Akamai descobriram um novo ataque de skimmer que está mirando várias lojas eletrônicos com uma nova técnica para exfiltrar dados.
Os atores de ameaças estão usando o fórum de cartões de crédito falsos e webSockets para roubar as informações financeiras e pessoais dos usuários.
“As lojas online estão cada vez mais terceirizando seus processos de pagamento para fornecedores terceirizados, o que significa que eles não lidam com dados de cartão de crédito dentro de sua loja. Para superar isso, o invasor cria um formulário falso de cartão de crédito e injeta-o na página de checkout do aplicativo. A exfiltração em si é feita por WebSockets, que fornecem ao atacante um caminho de exfiltração mais silencioso.” lê o post publicado por Akamai.
Os hackers usam um skimmer de software para injetar um carregador na fonte da página como um script interno. Uma vez executado, um arquivo JavaScript malicioso é solicitado a partir de um servidor C2 (em https[:]//tags-manager[.] com/gtags/script2).
Ao carregar o script do servidor externo, o skimmer armazena no LocalStorage do navegador seu id de sessão gerado e o endereço IP do cliente.
Os atacantes aproveitam a API do Cloudflare para obter o endereço IP do usuário e, em seguida, usam uma conexão WebSocket para exfiltrar informações confidenciais de páginas envolvendo o checkout, login e novas páginas de registro de conta.
O aspecto distinto deste ataque é o uso de WebSockets, em vez de tags HTML ou solicitações XHR, para extrair as informações do site comprometido que torna essa técnica mais furtiva. O uso de WebSockets permite ignorar muitas políticas de CSP.
Especialistas notaram que, para as lojas virtuais que lidam com o processo de pagamento através de um provedor de terceiros, o skimmer cria um formulário falso de cartão de crédito na página antes de ser redirecionado para o fornecedor terceirizado.
“A Akamai vê novos e sutilmente modificados ataques do lado do cliente de aplicativos web, como este exemplo, quase que semanalmente. Dada a natureza ofuscada e a originação da cadeia de suprimentos de ataques no navegador, abordagens tradicionais dependentes de CSP perdem a maioria desses tipos de ataques”, conclui a empresa.
“Nosso portfólio de segurança abraçou e investiu para trazer ao mercado um produto de proteção de skimming web chamado Page Integrity Manager, que se concentra no comportamento de execução de scripts com visibilidade sem precedentes no ambiente de tempo de execução. Ele coleta informações sobre os diferentes scripts que são executados na página da Web, cada ação que eles tomam e sua relação com outros scripts na página. Emparelhar esses dados com nossa abordagem de detecção multicamadas — aproveitando heurística, pontuação de risco, IA e outros fatores — permite que o Page Integrity Manager detecte diferentes tipos de ataques do lado do cliente, com um alto foco em exfiltração de dados e ataques de skimming na Web.”
FONTE: SECURITY AFFAIRS