Akamai afirma que alguns hackers modificam páginas 404 para roubar cartões de crédito. Veja o que você precisa saber para não cair nessa.
Uma nova campanha Magecart de skimming de cartões sequestra as páginas de erro 404 dos sites de varejistas on-line, ocultando códigos maliciosos para roubar informações de cartão de crédito dos clientes.
Hackers Modificam Páginas 404 Para Roubar Cartões de Crédito: O que Você Precisa Saber
Sim. Alguns Hackers Modificam Páginas 404 Para Roubar Cartões de Crédito. Esta técnica é uma das três variantes observadas pelos pesquisadores do Akamai Security Intelligence Group, com as outras duas ocultando o código no atributo ‘onerror’ da tag de imagem HTML e um binário de imagem para fazê-lo aparecer como o trecho de código Meta Pixel.
A Akamai afirma que a campanha se concentra em sites Magento e WooCommerce, com algumas vítimas ligadas a organizações renomadas dos setores de alimentação e varejo.
Todos os sites apresentam páginas de erro 404 que são exibidas aos visitantes quando acessam uma página da web que não existe, foi movida ou possui um link inativo/quebrado.
Os atores do Magecart aproveitam a página padrão ‘404 Not Found’ para ocultar e carregar o código malicioso de roubo de cartão, que não foi visto antes em campanhas anteriores.
“Esta técnica de ocultação é altamente inovadora e algo que não vimos nas campanhas anteriores do Magecart”, diz o relatório da Akamai.
“A ideia de manipular a página de erro 404 padrão de um site direcionado pode oferecer aos atores do Magecart várias opções criativas para melhorar a ocultação e a evasão.”
O skimmer loader se disfarça como um trecho de código Meta Pixel ou se esconde em scripts embutidos aleatórios já presentes na página da web de checkout confirmado.
O carregador inicia uma solicitação de busca para um caminho relativo denominado ‘ícones’, mas como esse caminho não existe no site, a solicitação resulta em um erro “404 Not Found”.
Os investigadores da Akamai inicialmente presumiram que o skimmer não estava mais ativo ou que o grupo Magecart cometeu um erro de configuração.
No entanto, após uma inspeção mais detalhada, eles descobriram que o carregador continha uma correspondência de expressão regular procurando uma string específica no HTML retornado da página 404.
Ao localizar a string na página, a Akamai encontrou uma string concatenada codificada em base64 escondida em um comentário. A decodificação dessa string revelou o skimmer JavaScript, que está oculto em todas as 404 páginas.
“Simulamos solicitações adicionais para caminhos inexistentes e todas retornaram a mesma página de erro 404 contendo o comentário com o código malicioso codificado”, explica Akamai
“Essas verificações confirmaram que o invasor alterou com sucesso a página de erro padrão de todo o site e ocultou o código malicioso dentro dela!”
Como a solicitação é feita para um caminho primário, a maioria das ferramentas de segurança que monitoram solicitações de rede suspeitas na página de checkout a ignorariam.
O código skimmer exibe um formulário falso que os visitantes do site devem preencher com detalhes confidenciais, incluindo número de cartão de crédito, data de validade e código de segurança.
Depois que esses dados são inseridos no formulário falso, a vítima recebe um erro falso de “tempo limite de sessão”.
Em segundo plano, todas as informações são codificadas em base64 e enviadas ao invasor por meio de um URL de solicitação de imagem que carrega a string como parâmetro de consulta.
Essa abordagem ajuda a evitar a detecção por ferramentas de monitoramento de tráfego de rede, pois a solicitação parece um evento benigno de busca de imagem. No entanto, a decodificação da string base64 revela informações pessoais e de cartão de crédito.
O caso da manipulação de páginas 404 destaca a evolução das táticas e a versatilidade dos atores do Magecart, que continuamente tornam difícil para o webmaster localizar seu código malicioso em sites comprometidos e higienizá-los.
