0
0
Pesquisadores de segurança descobriram uma nova técnica para injetar um skimmer de software nas páginas de checkout, o malware se esconde nos botões de mídia social.
Especialistas em segurança da Sansec detalharam uma nova técnica usada por bandidos para injetar um skimmer de software em páginas de checkout. O e-skimming ocorreu quando os hackers comprometem um site de comércio eletrônico e plantam um código malicioso projetado para desviar dados de cartão de pagamento ou informações pessoalmente identificáveis (PII).
Os ataques de e-skimming foram inicialmente observados na natureza em 2016, seu número aumentou rapidamente desde então. Nos últimos anos, inúmeros ataques envolvendo skimmers de software foram realizados por atores de ameaças sob o guarda-chuva Magecart.
Os ataques utilizaram várias técnicas ao longo do tempo para realizar um ataque de e-skimming, como a exploração de falhas na plataforma de e-commerce (ou seja, Magento, OpenCart). Em outros ataques, os hackers comprometeram plugins usados por plataformas de comércio eletrônico em um ataque clássico da cadeia de suprimentos. Os atores de ameaças também injetaram skimmers de software dentro da conta de hospedagem em nuvem de uma empresa que estava mal protegida.
Outro cenário de ataque mostra hackers mirando os administradores da plataforma com ataques de engenharia social na tentativa de obter suas credenciais e usá-las para plantar o código malicioso na loja eletrônico.
Grupos de hackers sob o guarda-chuva Magecart se concentram no roubo de dados de cartões de pagamento com skimmers de software.
Os pesquisadores da Sansec foram os primeiros a descobrir o novo malware. O código malicioso tem dois componentes, uma carga oculta e um decodificador usado para decodificar o skimmer de software e executa o código oculto.
A carga maliciosa é ocultada como botões de mídia social que imitam ícones de compartilhamento social como Facebook, Twitter e Instagram. Esta é a primeira vez que a carga útil foi construída como uma imagem perfeitamente válida que não é detectável por scanners de segurança que só realizam verificações de sintaxe.
Os atacantes ocultaram o skimmer de software em um ícone de compartilhamento social carregado como um elemento HTML ‘svg’ com um elemento ‘path’ como um contêiner e nomeado usando nomes de plataforma de mídia social (por exemplo, google_full, facebook_full, twitter_full, instagram_full, youtube_full, pinterest_full).
Os atacantes tornam esses ataques difíceis de detectar também separando o decodificador da carga oculta.
“Vale ressaltar que o decodificador não precisa ser injetado no mesmo local que a carga. Isso aumenta sua ocultação, pois encontrar apenas uma das partes, pode-se não deduzir o verdadeiro propósito de um svg ligeiramente formatado”, lê-se na análise publicada pelos especialistas da Sansec.
“Um atacante pode, naturalmente, esconder qualquer carga com essa técnica. Amostras colhidas pela Sansec revelaram o skimming de pagamento como o verdadeiro propósito das injeções de malware.”
Em junho, especialistas detectaram um malware semelhante usando essa técnica inovadora de carregamento. O código malicioso não era tão sofisticado, especialistas o detectaram apenas em 9 sites em um único dia. Alguns dos skimmers de software estavam funcionando apenas parcialmente, provavelmente porque os atacantes os implantaram como testes.
“Desses 9 sites infectados, apenas 1 tinha malware funcional. Os 8 sites restantes perderam um dos dois componentes, tornando o malware inútil”, conclui o especialista.
“Após a descoberta desse novo e mais sofisticado malware, surge a questão se as injeções de junho poderiam ter sido o criador executando um teste para ver o quão bem sua nova criação se sairia. Este novo malware foi encontrado pela primeira vez em sites ao vivo em meados de setembro.”
FONTE: SECURITY AFFAIRS