Pesquisadores de segurança cibernética descobriram mais de 80 sites comprometidos de comércio eletrônico da Magecart que estão enviando ativamente informações de cartão de crédito de compradores on-line a servidores controlados por invasores.
Muitos desses sites comprometidos, operando nos Estados Unidos, Canadá, Europa, América Latina e Ásia, são marcas bem conhecidas nos setores de automobilismo e moda. Isso foi anunciado por pesquisadores do Aite Group e da Arxan Technologies em um relatório compartilhado hoje com o The Hacker
Em um mundo cada vez mais digital, os ataques Magecart se tornaram uma ameaça fundamental à segurança cibernética dos sites de comércio eletrônico.
Magecart é um termo coletivo para vários grupos de criminosos cibernéticos que se especializam no uso secreto de escumadores de cartão de crédito on-line em sites de comércio eletrônico manipulados para roubar os dados do cartão de pagamento de seus clientes.
Basicamente, esses skimmers virtuais de cartão de crédito, também conhecidos como ataques de quebra de formulário, são códigos JavaScript que os hackers inserem secretamente em um site comprometido, geralmente na página do carrinho de compras, a fim de capturar informações de pagamento dos clientes em tempo real e enviá-las a um invasor remoto Servidor.
Ultimamente, o Magecart tem sido bastante noticiado por causa de vários ataques de alto nível contra grandes empresas como British Airways, Ticketmaster, Newegg e outros.
A campanha recém-lançada não pertence a um único grupo de hackers Magecart. Em vez disso, os pesquisadores usaram um mecanismo de busca de código-fonte na Internet para procurar por JavaScript velado com padrões maliciosos que haviam sido vistos anteriormente nos skimmers virtuais de cartões de crédito da Magecart.
Segundo os pesquisadores, eles foram capazes de usar essa tecnologia para descobrir rapidamente mais de 80 sites de comércio eletrônico comprometidos pelos grupos Magecart. A maioria deles foi executada com versões desatualizadas do Magento CMS, vulneráveis a uploads não autenticados e a vulnerabilidades de execução remota de código.
"A falta de proteção no aplicativo, como ocultação de código e detecção de adulteração, torna os aplicativos da Web vulneráveis a algum tipo de ataque cibernético chamado formjacking", disseram os pesquisadores.
"Muitos dos sites vulneráveis serão liberados 1.5, 1.7 ou 1.9 executado. As vulnerabilidades relacionadas ao upload arbitrário de arquivos, execução remota de código e falsificação de solicitação entre sites afetam todas as versões do Magento 2.1.6 e abaixo. No entanto, você não pode receber uma declaração vinculativa de que isso resultou em uma violação desses sites. Essas são versões vulneráveis do Magento que permitem que os oponentes insiram o código de quebra de formulário no site. "
Embora os pesquisadores não tenham mencionado as empresas vulneráveis em seu relatório, eles trabalharam com as agências federais para notificar todas as organizações afetadas e servidores externos antes de publicar seu relatório.
"Por ser um projeto contínuo e ativo, decidimos não nomear as vítimas", disseram os pesquisadores ao The Hacker News.
Além disso, os pesquisadores também analisaram as atividades de monetização da Magecart e descobriram que os atacantes não apenas vendem os dados roubados dos cartões de pagamento nos fóruns da dark web, mas também compram mercadorias em sites legítimos de compras online e tentam lavá-las em mulas de mercadorias selecionadas, enviando as fraudulentas Transações.
"Para recrutar mulas de mercadorias, o atacante publica trabalhos que permitem que as pessoas trabalhem em casa e ganhem muito dinheiro para receber e reenviar mercadorias que foram compradas com os números de cartão de crédito roubados", diz os exploradores.
As mulas trabalham com remetentes locais que são pagos sob a mesa para enviar mercadorias para destinos da Europa Oriental, onde são vendidas a compradores locais e, por fim, beneficiam os atacantes como segunda fonte de renda.
Os pesquisadores recomendam sites de comércio eletrônico principalmente para atualizar o software da plataforma ou corrigir a versão mais recente para protegê-los de explorações conhecidas.
Além disso, os sites de comércio eletrônico também devem implementar ocultação de código e criptografia de caixa branca para tornar os formulários da Web ilegíveis para o oponente, bem como soluções para detectar alterações não autorizadas nos arquivos do site.
Os compradores on-line também são aconselhados a revisar periodicamente os detalhes do cartão de pagamento e extratos bancários em busca de atividades desconhecidas. Independentemente de quão pequenas transações não autorizadas você notar, você deve sempre denunciá-las à sua instituição financeira imediatamente.
