Magecart Malware raspou os dados do cartão por 8 meses no site de uma varejista de roupas britânica para atividades ao ar livre
No início deste ano, 18 usuários diferentes reclamaram com o PayPal sobre transações fraudulentas observadas em suas contas bancárias em um período relativamente curto e, após uma investigação, o processador de pagamentos percebeu que eles tinham uma coisa em comum: todos haviam comprado em Páramo, uma loja on-line que vende roupas e equipamentos para atividades ao ar livre. O PayPal é responsável pelo processamento dos pagamentos da Páramo e, portanto, naturalmente, notificou imediatamente o fornecedor. Uma investigação logo revelou que Páramo havia sido atingido pelo que o The Register descreveu como Magecart.
Páramo sofre um ataque de skimmer eletrônico
O termo "Magecart" apareceu alguns anos atrás, quando os cibercriminosos desenvolveram um malware capaz de raspar dados de cartão de crédito durante o processo de pagamento em lojas on-line. A parte "Mago" do nome foi colocada porque o Magecart foi projetado para atacar sites criados com a plataforma de código aberto Magento, mas agora passou a ser associado a praticamente todas as operações de escaneamento on-line. Ao longo dos anos, os ataques Magecart foram lançados por uma variedade de diferentes grupos de criminosos cibernéticos contra alvos de todas as formas e tamanhos. Páramo é o mais recente de uma longa fila de vítimas de Magecart, e quando você aprender como o ataque funcionou nesse caso específico, verá por que os hackers amam tanto essa raça de malware.
O vetor de infecção inicial permanece desconhecido por enquanto. Pesquisadores de segurança notaram recentemente uma tendência para instalar e-skimmers em sites baseados em Magento que usam um plug-in sem patch, mas não está claro se essa mesma técnica foi usada no caso de Páramo. Os hackers conseguiram obter acesso suficientemente profundo para fazer upload de um arquivo JS e modificar uma das páginas PHP do site. Como resultado, durante o processo de pagamento, Páramo aparentemente funcionaria como pretendido. Os pagamentos serão processados pelo PayPal e os pedidos serão registrados normalmente. No fundo, no entanto, o arquivo JS malicioso raspa os dados do cartão de crédito dos clientes e os encaminha para os criminosos cibernéticos. Tudo, desde o nome do titular do cartão até o código CVV na parte de trás do cartão, é afetado, e não é de admirar que os 18 usuários tenham notado atividades incomuns em suas contas bancárias.
O malware não foi detectado por 8 meses
Páramo disse ao The Register que os atores do Magecart conseguiram roubar os detalhes de 3.743 cartões, o que, considerando o tamanho de algumas das outras violações que testemunhamos todos os dias, não parece muito. O malware permaneceu sem ser detectado no site por um bom tempo, no entanto, o que mostra o quão perigoso pode ser.
A Páramo localizou e removeu o malware Magecart em março, mas quando seus especialistas em TI de segurança verificaram os logs, perceberam que ele foi instalado pela primeira vez em julho de 2019. Até mesmo as verificações trimestrais de segurança que Páramo paga por falhas na detecção do malware e nos próximos oito meses, ninguém suspeitou de nada.
O Magecart está se configurando para ser uma das maiores ameaças às lojas online. Ele já desempenhou o papel principal em alguns incidentes importantes, e as operações cibercriminosas baseadas nele são bem-sucedidas. Embora tenham a tarefa de lidar com as informações financeiras dos usuários, muitos administradores de lojas on-line não prestam atenção suficiente à segurança e administram seus sites com tecnologia antiga e sem patches, o que facilita ainda mais o trabalho dos criminosos. Se você é responsável pela segurança de um site de comércio eletrônico, verifique se o Magecart ocupa um lugar central no seu modelo de ameaça. Se, por outro lado, você é um ávido comprador on-line, pode fazer pior do que verificar seu saldo bancário regularmente e informar oportunamente qualquer transação suspeita.