Pesquisadores da Akamai, empresa de cibersegurança e nuvem, descobriram e analisaram uma nova campanha contínua de ataque que utiliza códigos maliciosos num estilo derivado do grupo criminoso Magecart. A técnica de ataque em forma de web skimming envolve a inserção de scripts maliciosos em páginas da web. Ele visa empresas com operações online e, a partir delas, rouba informações confidenciais.
Este tipo de ataque funciona interceptando as informações inseridas pelos clientes durante o processo de pagamento, como números de cartão de crédito, datas de validade, códigos de segurança (CVV) e outros dados relevantes. Essas informações são então enviadas aos atacantes, permitindo que eles as utilizem para fins fraudulentos, como clonar cartões de crédito ou realizar transações não autorizadas.
Segundo a Akamai, muitos ataques de Magecart de maior visibilidade não foram detectados por meses, senão anos. Dos 9.290 domínios de e-commerce que sofreram ataques Magecart em 2022, 2.468 deles permaneceram ativamente infectados até o final daquele ano, tornando-se uma ameaça para as organizações. “Geralmente, esses ataques não podem ser detectados por métodos populares de segurança da Web, como firewalls de aplicativos Web (WAFs), pois são executados no lado do cliente. Isso pode resultar em ataques de Magecart permanecendo despercebidos por longos períodos”, esclarece Helder Ferrão, Gerente de Marketing de Indústrias para a América Latina.
A nova campanha de ataque Magecart e como ela age
A última campanha de ataque, analisada pela Akamai, foi projetada para roubar informações de identificação pessoal e informações de cartão de crédito de sites de e-commerce e foram identificadas vítimas na América do Norte, América Latina e Europa. Estima-se que alguns dos sites atacados possuam centenas de milhares de acessos por mês, colocando potencialmente dezenas de milhares de identificações pessoais e cartões de crédito dos compradores em risco de serem roubados, abusados ou vendidos na dark web.
A característica distintiva deste ataque é a utilização de sites legítimos comprometidos, facilitando a ocultação de ataques a outros sites direcionados por trás de seus domínios genuínos. Ou seja, os invasores “sequestram” estes sites legítimos para atuar como servidores improvisados de comando e controle. Desta forma, as “vítimas do host” atuam como centros de distribuição de códigos maliciosos, sem o conhecimento dos consumidores que inserem os dados no site.
“Esses tipos de ataques de clonagem na Web estão se tornando cada vez mais evasivos e podem ser difíceis de detectar, portanto, os profissionais de segurança são aconselhados a considerar o uso de ferramentas e tecnologias que fornecem detecção comportamental e de anomalias da atividade no navegador.” explica Ferrão.
Em essência, esta campanha cria dois conjuntos de vítimas. O primeiro é as de hospedagem, que são sites legítimos sequestrados com a finalidade de hospedar o código malicioso e utilizados para entregar seu código durante um ataque. O segundo tipo concentra as vítimas de clonagem da web, sites de comércio vulneráveis onde, em vez de injetar o código de ataque diretamente nos recursos do site, os invasores empregam pequenos trechos de código JavaScript como carregadores para buscar o código de ataque completo do site da vítima host.
Tradicionalmente, esse tipo de ataque era executado principalmente na plataforma de comércio digital Magento; no entanto, nesta campanha, os pesquisadores da Akamai conseguiram identificar a exploração de Magento, WooCommerce, WordPress e Shopify, demonstrando a crescente variedade de vulnerabilidades e plataformas disponíveis para invasores.
Solucionando e combatendo ataques
Para Ferrão, a principal solução para combater efetivamente este tipo de ataque reside na utilização de ferramentas e tecnologias que fornecem detecção comportamental e de anomalias, como por exemplo o Akamai Page Integrity Manager. As ferramentas tradicionais de análise estática se mostram inadequadas para combater os dados maliciosos, pois modificam continuamente seus métodos e empregam técnicas cada vez mais sofisticadas que podem evitar a análise estática.
O especialista também enfatiza que podemos esperar encontrar campanhas semelhantes intermitentementes e que esse jogo de gato e rato provavelmente persistirá. “À medida que a batalha entre defensores e invasores no domínio do roubo de informações confidenciais continua, é crucial permanecer proativo e investir em medidas de segurança inovadoras. Ao adotar tecnologias de detecção avançadas que se adaptam aos vetores de ataque em constante mudança, as organizações podem proteger melhor suas plataformas online, proteger os dados do usuário e manter a confiança de seus clientes”, conclui Ferrão.