Hackers infectam sites de comércio eletrônico ao comprometer seu parceiro de publicidade

Magecart ataca novamente, um dos mais notórios grupos de hackers especializados em roubar detalhes de cartão de crédito de sites de comércio eletrônico mal-garantidos.

De acordo com pesquisadores de segurança da RiskIQ e da Trend Micro, os cibercriminosos de um novo subgrupo da Magecart, rotulado como “Magecart Group 12”, recentemente comprometeram quase 277 websites de comércio eletrônico usando ataques da cadeia de suprimentos.

Magecart é o mesmo grupo de skimmers de cartão de crédito digital que ganhou as manchetes no ano passado por realizar ataques contra algumas grandes empresas, incluindo Ticketmaster British Airways e Newegg .

Normalmente, os hackers Magecart comprometem os sites de comércio eletrônico e inserem código JavaScript mal-intencionado em suas páginas de checkout que silenciosamente capturam informações de pagamento de clientes que fazem compras nos sites e depois enviam para o servidor remoto do invasor. No entanto, os pesquisadores das duas empresas revelaram que, em vez de comprometer diretamente sites direcionados, o Magecart Group 12 hackeou e inseriu seu código de skimming em uma biblioteca JavaScript de terceiros, permitindo que todos os sites usando esse script carregassem o código malicioso.

magecart hacking group

A biblioteca de terceiros segmentada pelo Magecart Group 12 é de uma empresa francesa de publicidade on-line chamada Adverline, cujo serviço está sendo usado por centenas de sites europeus de comércio eletrônico para exibir anúncios.
“No momento de nossa pesquisa, os sites incorporados com o script de redirecionamento do Adverline carregaram o código de skimming do Magecart Group 12, que, por sua vez, examina as informações de pagamento inseridas em páginas da web e as envia para seu servidor remoto”, 

diz a Trend Micro .O que mais? O pesquisador de segurança Yonathan Klijnsma, da RiskIQ, descobriu que o código do skimmer para o MageCart Group 12 protege-se da desobstrução e da análise executando uma verificação de integridade duas vezes sobre si mesmo.
“O Magecart Group 12 usa um kit de ferramentas de skimming que emprega dois scripts ofuscados. O primeiro script é principalmente para anti-reversão, enquanto o segundo script é o principal código de varredura de dados”, dizem os pesquisadores.Após a infecção, o código de varredura de dados primeiro verifica se ele é executado em uma página da web apropriada do carrinho de compras. Ele faz isso detectando strings relacionadas na URL, como “checkout”, “faturamento”, “purchase”, “panier”, que significa “basket” em francês e “kasse”, que significa “checkout” em alemão.

magecart hacking group

Depois de detectar qualquer uma dessas strings na URL, o script começará a executar o comportamento de skimming copiando o nome do formulário e os valores digitados pelo usuário no formulário de digitação da página da Web.

Os dados de pagamento e cobrança roubados são então armazenados no JavaScript LocalStorage com o nome da chave ‘Cache’ no formato Base64. Para especificar vítimas individuais, o código também gera um número aleatório que ele reserva no LocalStorage com o nome da chave E-tag.
“Um evento JavaScript ‘unload’ é acionado sempre que o usuário fecha ou atualiza a página da web de pagamento. O script envia os dados de pagamento, o número aleatório (E-tag) e o domínio do site de comércio eletrônico para um servidor remoto. através do HTTP POST, com codificação Base64 em toda a data de envio, “explicam os pesquisadores da Trend Micro.Os pesquisadores também publicaram os IOCs associados à operação do Grupo 12, que inclui os domínios que os skimmers usaram para injetar seu código nos sites afetados e receber as informações de pagamento roubadas.

Ao entrar em contato, a Adverline corrigiu o problema imediatamente e removeu o código malicioso de sua biblioteca JavaScript.