Pesquisadores do NetLab, da empresa chinesa de segurança cibernética Qihoo 360, revelaram detalhes de uma campanha de invasão de cartões de crédito que atualmente rouba informações de cartões de pagamento de clientes que visitam mais de 105 sites de comércio eletrônico.
Enquanto monitoravam um domínio malicioso, o www.magento-analytics [.] Com , nos últimos sete meses, os pesquisadores descobriram que os invasores injetavam scripts maliciosos JS hospedados neste domínio em centenas de sites de compras online.
Os scripts JavaScript em questão incluem o código de verificação de cartão de crédito digital que, quando executado em um site, automaticamente rouba informações do cartão de pagamento, como nome do proprietário do cartão de crédito, número do cartão de crédito, prazo de validade, informações do CVV inseridas pelos clientes.
Em uma entrevista por e-mail, o pesquisador da NetLab disse ao The Hacker News que eles não têm dados suficientes para determinar como os hackers infectaram sites afetados em primeiro lugar ou quais vulnerabilidades eles exploraram, mas confirmaram que todos os sites de compras afetados estão atropelando o e-mail Magento. comércio software CMS.
Uma análise mais detalhada revelou que o script malicioso envia dados de cartões de pagamento roubados para outro arquivo hospedado no servidor magento-analytics [.] Com controlado pelos atacantes.
A técnica usada pelo grupo por trás dessa campanha não é nova e exatamente igual à que os infames grupos de hackers de cartões de crédito da MageCart usaram em centenas de seus recentes ataques, incluindo Ticketmaster , British Airways e Newegg .
No entanto, os pesquisadores da NetLab não vincularam explicitamente esse ataque a nenhum dos grupos da MageCart .
Além disso, não se confunda com o nome de domínio - www.magento-analytics [.] Com.
Ter o Magento no nome de domínio não significa que o domínio malicioso esteja de alguma forma associado à popular plataforma Magento ecommerce CMS; em vez disso, os invasores usaram essa palavra-chave para disfarçar suas atividades e confundir usuários comuns.
Segundo os pesquisadores, o domínio malicioso usado na campanha está registrado no Panamá, no entanto, nos últimos meses, o endereço IP passou de "Estados Unidos, Arizona" para "Rússia, Moscou" e depois para "China, Hong Kong". "
Embora os pesquisadores descobriram que o domínio malicioso tem roubado informações de cartões de crédito há pelo menos cinco meses, com um total de 105 sites já infectados com o JS malicioso, eles acreditam que esse número pode ser maior do que o que apareceu em seu radar.
Ainda ontem, um usuário postou em um fórum que seu site Magento também foi hackeado recentemente e invasores secretamente injetaram um script de roubo de cartão de crédito do mesmo domínio, aparentemente uma variante separada que ainda não foi listada no site do 360 NetLab.
Como os atacantes geralmente exploram vulnerabilidades conhecidas no software de comércio eletrônico on-line para injetar seus scripts maliciosos, os administradores de sites são altamente aconselhados a seguir as melhores práticas de segurança, como aplicar atualizações e patches mais recentes, limitar privilégios para sistemas críticos e proteger servidores da Web.
Enquanto isso, os compradores on-line também são aconselhados a revisar regularmente seu cartão de crédito e extratos bancários para qualquer atividade desconhecida. Não importa o quão pequena transação não autorizada você perceba, você deve sempre e imediatamente denunciá-lo ao seu banco imediatamente.
Enquanto monitoravam um domínio malicioso, o www.magento-analytics [.] Com , nos últimos sete meses, os pesquisadores descobriram que os invasores injetavam scripts maliciosos JS hospedados neste domínio em centenas de sites de compras online.
Os scripts JavaScript em questão incluem o código de verificação de cartão de crédito digital que, quando executado em um site, automaticamente rouba informações do cartão de pagamento, como nome do proprietário do cartão de crédito, número do cartão de crédito, prazo de validade, informações do CVV inseridas pelos clientes.
Em uma entrevista por e-mail, o pesquisador da NetLab disse ao The Hacker News que eles não têm dados suficientes para determinar como os hackers infectaram sites afetados em primeiro lugar ou quais vulnerabilidades eles exploraram, mas confirmaram que todos os sites de compras afetados estão atropelando o e-mail Magento. comércio software CMS.
Uma análise mais detalhada revelou que o script malicioso envia dados de cartões de pagamento roubados para outro arquivo hospedado no servidor magento-analytics [.] Com controlado pelos atacantes.
"Tome uma vítima como exemplo, www.kings2.com, quando um usuário carrega sua página inicial, o JS também é executado. Se um usuário seleciona um produto e acessa as" Informações de pagamento "para enviar as informações do cartão de crédito, após Os dados CVV são inseridos, as informações do cartão de crédito serão carregadas ", explicam os pesquisadores em um post publicado hoje.
A técnica usada pelo grupo por trás dessa campanha não é nova e exatamente igual à que os infames grupos de hackers de cartões de crédito da MageCart usaram em centenas de seus recentes ataques, incluindo Ticketmaster , British Airways e Newegg .
No entanto, os pesquisadores da NetLab não vincularam explicitamente esse ataque a nenhum dos grupos da MageCart .
Além disso, não se confunda com o nome de domínio - www.magento-analytics [.] Com.
Ter o Magento no nome de domínio não significa que o domínio malicioso esteja de alguma forma associado à popular plataforma Magento ecommerce CMS; em vez disso, os invasores usaram essa palavra-chave para disfarçar suas atividades e confundir usuários comuns.
Segundo os pesquisadores, o domínio malicioso usado na campanha está registrado no Panamá, no entanto, nos últimos meses, o endereço IP passou de "Estados Unidos, Arizona" para "Rússia, Moscou" e depois para "China, Hong Kong". "
Embora os pesquisadores descobriram que o domínio malicioso tem roubado informações de cartões de crédito há pelo menos cinco meses, com um total de 105 sites já infectados com o JS malicioso, eles acreditam que esse número pode ser maior do que o que apareceu em seu radar.
Ainda ontem, um usuário postou em um fórum que seu site Magento também foi hackeado recentemente e invasores secretamente injetaram um script de roubo de cartão de crédito do mesmo domínio, aparentemente uma variante separada que ainda não foi listada no site do 360 NetLab.
Como os atacantes geralmente exploram vulnerabilidades conhecidas no software de comércio eletrônico on-line para injetar seus scripts maliciosos, os administradores de sites são altamente aconselhados a seguir as melhores práticas de segurança, como aplicar atualizações e patches mais recentes, limitar privilégios para sistemas críticos e proteger servidores da Web.
Enquanto isso, os compradores on-line também são aconselhados a revisar regularmente seu cartão de crédito e extratos bancários para qualquer atividade desconhecida. Não importa o quão pequena transação não autorizada você perceba, você deve sempre e imediatamente denunciá-lo ao seu banco imediatamente.
