Magecart, um notório grupo de criminosos cibernéticos conhecidos por sua proficiência no roubo de dados confidenciais de sites de comércio eletrônico, revelou um esquema tortuoso que capitaliza um elemento aparentemente inofensivo da Internet – a página de erro 404. Essa tática inovadora, descoberta pelo Akamai Security Intelligence Group, é uma das três variantes empregadas pela Magecart e envolve ocultar código malicioso no abismo digital das páginas de erro 404 para roubar sub-repticiamente as informações do cartão de crédito dos clientes.
Como as páginas 404 se tornaram um playground para criminosos cibernéticos?
Neste ataque cibernético orquestrado pelo grupo Magecart, os hackers manipulam a página de erro 404 de um site – a página exibida quando uma página da web não existe ou tem um link quebrado. Eles escondem código malicioso nesta página aparentemente inócua para roubar informações de cartão de crédito de visitantes desavisados. O código oculto apresenta um formulário falso aos usuários, solicitando que eles insiram detalhes confidenciais do cartão de crédito. Esses dados roubados são então transmitidos secretamente aos hackers, disfarçados como solicitações de imagens inocentes. A abordagem inovadora torna a detecção um desafio, enfatizando a necessidade de medidas robustas de segurança cibernética para proteger as transações online e as informações dos usuários.
Vamos nos aprofundar nos detalhes de como esse hack de skimming de cartão Magecart, que explora páginas de erro 404, realmente funciona:
- Seleção de alvo: O primeiro passo para os hackers Magecart é identificar seus alvos, que incluem principalmente sites de comércio eletrônico construídos em plataformas populares como Magento e WooCommerce. Algumas vítimas desta campanha foram organizações proeminentes nos setores alimentar e retalhista.
- Ocultação de código malicioso: Uma vez escolhido o alvo, os hackers empregam uma técnica inovadora. Eles manipulam a página de erro 404 do site, que é a página que os visitantes veem quando tentam acessar uma página que não existe, foi movida ou contém um link inativo.
- Escondendo-se em plena vista: Em vez de inserir seu código malicioso diretamente no código do site, os atores do Magecart o escondem na página de erro 404. Esta tática é particularmente inteligente porque não foi vista em campanhas anteriores do Magecart. Ao fazer isso, eles têm uma nova maneira de evitar a detecção.
- O carregador skimmer: O skimmer loader é um componente crítico do ataque. Ele pode assumir vários disfarces, como aparecer como um trecho de código Meta Pixel ou se esconder em scripts embutidos pré-existentes na página de checkout comprometida.
- Buscando recursos inexistentes: O carregador inicia uma solicitação de busca para um caminho relativo denominado ‘ícones’. Este caminho não existe no site de destino, resultando em um erro “404 Not Found”. À primeira vista, pode parecer um erro inocente ou um skimmer inativo.
- Encoberto em comentários HTML: No entanto, após uma inspeção mais detalhada, o carregador contém uma correspondência de expressão regular que procura uma string específica no HTML da página de erro 404. Ao encontrar essa string, ele revela uma string concatenada codificada em base64, habilmente escondida em um comentário HTML.
- JavaScript malicioso revelado: Essa string codificada em base64, quando decodificada, revela o skimmer JavaScript, que foi projetado para permanecer oculto em todas as páginas de erro 404.
- Exfiltração oculta de dados: Com o skimmer ativo, ele apresenta um formulário falso aos visitantes do site. Este formulário enganoso solicita que os usuários insiram informações confidenciais, incluindo número de cartão de crédito, data de validade e código de segurança. Sem o conhecimento da vítima, no momento em que insere esses dados, ela recebe um falso erro de “tempo limite de sessão”.
- Exfiltração de dados: Em segundo plano, todas as informações roubadas são codificadas em base64 e enviadas ao invasor por meio de uma URL de solicitação de imagem, carregando a string como parâmetro de consulta. Essa abordagem enganosa mascara a exfiltração de dados como um evento de busca de imagem aparentemente inofensivo, tornando difícil a identificação pelas ferramentas de monitoramento de tráfego de rede.
- Informações roubadas: No entanto, ao decodificar a string base64, o invasor obtém acesso a informações pessoais e de cartão de crédito, levando potencialmente ao roubo de identidade e perdas financeiras para as vítimas.
Este ataque sofisticado destaca a evolução das táticas dos hackers Magecart, que continuamente encontram novas maneiras de ocultar seus códigos maliciosos e comprometer a segurança das lojas online. Salienta a necessidade de maior vigilância na salvaguarda de informações sensíveis e a necessidade de medidas robustas de cibersegurança para proteger tanto as empresas como os consumidores num mundo cada vez mais digital.
Para informações mais detalhadas sobre o assunto, leia o oficial relatório.
Crédito da imagem em destaque: Erik Mclean/Unsplash
Source: Hackers começam a usar páginas de erro 404 para roubar cartões de crédito