CG One

Blog CG One

Insights valiosos para ajudar a proteger o seu negócio.

Script malicioso para roubo de dados de cartão afeta e-commerces ao redor do mundo

Scripts PHP maliciosos em servidores da web são usados para manipular páginas de pagamento e roubar dados de cartão

Cibercriminosos estão usando arquivos de imagem que esconde um script PHP malicioso, a fim de manipular as páginas de checkout de e-commerces e roubar informações do cartão dos usuários, alerta a Microsoft

Skimmers é como são chamados os cibercriminosos que utilizam táticas para roubar informações de pagamento de usuários em e-commerces e outras plataformas de venda.

De acordo com a Microsoft, malwares de desvio de cartão estão usando cada vez mais scripts PHP maliciosos em servidores da web para manipular páginas de pagamento, a fim de contornar as defesas nativas do navegador, desencadeadas por códigos JavaScript.

Os pesquisadores da Microsoft também observaram uma mudança nas estratégias usadas pelos skimmers.

Ao longo da última década, a atividade foi dominada pelo Magecart, malware conhecido para este fim, que depende do código JavaScript para injetar scripts nas páginas de checkout e entregar uma carga que captura e rouba detalhes de cartões de débito ou crédito.

A injeção de JavaScript em processos de front-end foi “muito evidente”, observa a Microsoft, porque pode ter acionado proteções do navegador, como a Política de Segurança de Conteúdo (CSP), que impede o carregamento de scripts externos. Os criminosos, então, encontraram formas menos espalhafatosas, corrompendo os servidores da web com scripts PHP maliciosos.

Em novembro de 2021, a Microsoft encontrou dois arquivos de imagem maliciosos, incluindo um favicon de navegador falso, sendo carregados em um servidor hospedado no Magento. Magento é uma plataforma de e-commerce popular, utilizada em todo o mundo.

As imagens continham script PHP incorporado, que, por padrão, não é executado no servidor afetado. Em vez disso, o script PHP só é executado após confirmar, por meio de cookies, que o administrador da web não está conectado no momento, para segmentar apenas compradores – isto é, os alvos de ataque.

Como funciona o script malicioso para roubo de dados de cartão

Uma vez que o script PHP é executado, ele recupera a URL da página atual e procura por “checkout” e “one page“, duas palavras-chave que redirecionam para a página de checkout do Magneto.

“A inserção do script PHP em um arquivo de imagem é interessante porque, por padrão, o servidor web não executaria o código referido . Com base em ataques semelhantes, acreditamos que o invasor usou uma expressão PHP ‘include‘ para incluir o favicon (que contém o código PHP) na página de índice do site, para que seja carregado automaticamente a cada visita à página”, explicou a Microsoft.

Aumento no uso de PHP malicioso em malwares de skimming preocupa autoridades

O FBI alertou, em maio, sobre novos casos de invasores usando PHP malicioso para infectar as páginas de checkout de e-commerces dos EUA, com o objetivo de conseguir acesso remoto via backdoor ao servidor da web. Um relatório privado descobriu que 41% dos novos malwares de clonagem de cartão de crédito observados em 2021 estavam relacionados a skimmers PHP direcionados a servidores back-end.

No início de maio, a Malwarebytes informou que o Magecart Group 12 estava distribuindo um novo malware webshell, que carrega, de forma dinâmica, o código de skimming de JavaScript por meio de solicitações do servidor de lojas online.

“Esta técnica é interessante, pois a maioria das ferramentas de segurança do lado do cliente não será capaz de detectar ou bloquear o skimmer”, observou a Malwarebytes.

“Ao contrário de incidentes anteriores, em que uma imagem de favicon falsa foi usada para ocultar código JavaScript malicioso, neste caso se tratava de um webshell PHP”.

Mas o JavaScript malicioso continua a fazer parte das estratégias de skimming.

Por exemplo: a Microsoft encontrou exemplos de malware com base em JavaScript para spoofing do Google Analytics e do Meta Pixel (anteriormente Facebook Pixel), o que poderia induzir administradores de servidores de e-commerce a pensar que os scripts são benignos, uma vez que é comum no mercado a integração com ditas plataformas de anúncios e análise de dados.

Com a constante evolução tática dos cibercriminosos, é preciso pensar a segurança de forma estrutural.

Conheça as soluções da Compugraf e saiba como podemos ajudar a manter o seu negócio seguro!

Leia outros artigos