Hackers modificam páginas 404 de lojas online para roubar cartões de crédito

Esta técnica é uma das três variantes observadas pelos pesquisadores do Akamai Security Intelligence Group, com as outras duas ocultando o código no atributo ‘onerror’ da tag de imagem HTML e um binário de imagem para fazê-lo aparecer como o trecho de código Meta Pixel.

A Akamai afirma que a campanha se concentra em sites Magento e WooCommerce, com algumas vítimas ligadas a organizações renomadas dos setores de alimentação e varejo.

Manipulando 404 páginas

Todos os sites apresentam páginas de erro 404 que são exibidas aos visitantes quando acessam uma página da web que não existe, foi movida ou possui um link inativo/quebrado.

Os atores do Magecart aproveitam a página padrão ‘404 Not Found’ para ocultar e carregar o código malicioso de roubo de cartão, que não foi visto antes em campanhas anteriores.

“Esta técnica de ocultação é altamente inovadora e algo que não vimos nas campanhas anteriores do Magecart”, diz o  relatório da Akamai .

“A ideia de manipular a página de erro 404 padrão de um site direcionado pode oferecer aos atores do Magecart várias opções criativas para melhorar a ocultação e a evasão.”

O skimmer loader se disfarça como um trecho de código Meta Pixel ou se esconde em scripts embutidos aleatórios já presentes na página de checkout comprometida.

O carregador inicia uma solicitação de busca para um caminho relativo denominado ‘ícones’, mas como esse caminho não existe no site, a solicitação resulta em um erro “404 Not Found”.

Os investigadores da Akamai inicialmente presumiram que o skimmer não estava mais ativo ou que o grupo Magecart cometeu um erro de configuração. No entanto, após uma inspeção mais detalhada, eles descobriram que o carregador continha uma correspondência de expressão regular procurando uma string específica no HTML retornado da página 404.

Ao localizar a string na página, a Akamai encontrou uma string concatenada codificada em base64 escondida em um comentário. A decodificação dessa string revelou o skimmer JavaScript, que está oculto em todas as 404 páginas.

“Simulamos solicitações adicionais para caminhos inexistentes e todas retornaram a mesma página de erro 404 contendo o comentário com o código malicioso codificado”, explica Akamai

“Essas verificações confirmam que o invasor alterou com sucesso a página de erro padrão de todo o site e ocultou o código malicioso dentro dela!”

Como a solicitação é feita para um caminho primário, a maioria das ferramentas de segurança que monitoram solicitações de rede suspeitas na página de checkout a ignorariam.

Roubando os dados

O código skimmer exibe um formulário falso que os visitantes do site devem preencher com detalhes confidenciais, incluindo número de cartão de crédito, data de validade e código de segurança.

Depois que esses dados são inseridos no formulário falso, a vítima recebe um erro falso de “tempo limite de sessão”.

Em segundo plano, todas as informações são codificadas em base64 e enviadas ao invasor por meio de um URL de solicitação de imagem que carrega a string como parâmetro de consulta.

Essa abordagem ajuda a evitar a detecção por ferramentas de monitoramento de tráfego de rede, pois a solicitação parece um evento benigno de busca de imagem. No entanto, a decodificação da string base64 revela informações pessoais e de cartão de crédito.

O caso da manipulação de páginas 404 destaca a evolução das táticas e versatilidade dos atores do Magecart, que tornam continuamente mais difícil para o webmaster localizar seu código malicioso em sites comprometidos e higienizá-los.

Fonte: BleepingComputer