Sites legítimos sequestrados para hospedar scripts de roubo de cartão de crédito

Uma nova campanha de roubo de cartão de crédito da Magecart está em execução. A campanha sequestra sites legítimos para atuar como servidores de comando e controle (C2) “improvisados” para injetar e ocultar os skimmers em sites de comércio eletrônico direcionados para roubo de cartão de crédito.

Um ataque Magecart ocorre quando hackers invadem lojas online para injetar scripts maliciosos que roubam cartões de crédito e informações pessoais dos clientes durante o checkout.

Sites sendo sequestrados para hospedar scripts de roubo de cartão de crédito

De acordo com os pesquisadores da Akamai que monitoram esta campanha, ela comprometeu organizações nos Estados Unidos, Reino Unido, Austrália, Brasil, Peru e Estônia. Além disso, a empresa de segurança cibernética também aponta que muitas das vítimas não perceberam que foram violadas por mais de um mês, o que é uma prova da furtividade desses ataques.

Abusando de sites legítimos

O primeiro passo dos invasores é identificar sites legítimos vulneráveis e invadi-los para hospedar seu código malicioso, usando-os como servidores C2 para seus ataques. Ao distribuir os skimmers de cartão de crédito usando sites legítimos com boa reputação, os agentes de ameaças evitam a detecção e os bloqueios e ficam livres da necessidade de configurar sua própria infraestrutura. Em seguida, os invasores injetam um pequeno fragmento de JavaScript nos sites comerciais de destino que busca o código malicioso dos sites comprometidos anteriormente.

Embora não esteja claro como esses sites estão sendo violados, com base em nossa pesquisa recente de campanhas anteriores semelhantes, os invasores geralmente procuram vulnerabilidades na plataforma de comércio digital dos sites visados (como Magento, WooCommerce, WordPress, Shopify, etc. .) ou em serviços vulneráveis de terceiros usados pelo site.

Akamai