0
0
Os invasores assumiram o controle de pelo menos um domínio expirado que costumava hospedar uma biblioteca JavaScript popular e a usou para fornecer scripts de navegação na Web para vários sites de comércio eletrônico.
“Os sites das vítimas tiveram anos para remover o link morto que foi aproveitado pelos invasores, mas não o fizeram – provavelmente devido à falta de visibilidade sobre scripts de terceiros em execução em seus sites e falta de higiene de segurança”, observaram os pesquisadores da Jscrambler.
Uma nova técnica de ataque
Os invasores adquiriram o domínio tracker.web-cockpit[.]jp , que pertencia a um serviço gratuito de marketing e análise na web que foi descontinuado em dezembro de 2014.
A biblioteca JavaScript original foi chamada de Cockpit e foi substituída por um script malicioso de clonagem da web. Os pesquisadores do Jscrambler disseram ao Help Net Security que os invasores não fizeram nenhuma tentativa de fazê-lo parecer com o script original ou disfarçá-lo de qualquer outra forma.
O antigo script Cockpit foi carregado por outro script colocado em sites de comércio eletrônico. Dependendo do valor do cabeçalho do referenciador, que identifica a página da Web de onde é buscado, o domínio serviria como nenhum script, um skimmer padrão ou um skimmer específico.
O skimmer padrão seria executado nas páginas da web Order and Register e pegaria qualquer elemento input , select e textarea disponível na página, mas também injetaria um formulário de envio de cartão de crédito para obter mais informações.
O skimmer específico era uma versão falsa personalizada do script legítimo do Google Analytics, capaz de obter informações de e-mail e cartão de pagamento.
“Ao registrar novamente o domínio extinto e configurá-lo para distribuir código malicioso, os invasores conseguiram comprometer mais de 40 sites de comércio eletrônico. Os dados coletados dos sites foram codificados, criptografados e enviados para um servidor de exfiltração baseado na Rússia”, descobriram os pesquisadores .
Limpando
O domínio malicioso ainda está ativo e, embora esteja retornando uma página vazia, o favicon (logotipo do site no título da página) contém uma cópia de um dos skimmers.
Os pesquisadores notificaram os proprietários dos sites afetados por este ataque. Alguns – mas não todos! – removeu o script que buscava os skimmers.
“Um dos sites de comércio eletrônico sabia que o script de terceiros estava comprometido. Em vez de removê-lo, eles adicionaram um pequeno aviso à página de pagamento ”, observaram, e afirmaram que os proprietários do site talvez não pudessem remover o script ofensivo porque estavam usando um serviço de gerador de site ou um Sistema de gerenciamento de conteúdo (CMS) que inclui por padrão.
O aviso na página de pagamento (Fonte: Scrambler)
Em outros ataques detectados, os criminosos comprometeram os sites de comércio eletrônico e injetaram o script parecido com o Google Analytics em sua página de Checkout .
Os pesquisadores disseram à Help Net Security que não têm evidências suficientes para atribuir qualquer um desses ataques a um grupo Magecartconhecido .\
FONTE: HELPNET SECURITY