Quase 600 lojas on-line foram atacadas com sucesso pelo mesmo grupo de hackers

Após uma longa investigação, pesquisadores da Gemini Advisory descobriram que um único grupo de cibercriminosos é responsável pelos ataques bem-sucedidos contra nada menos que 570 sites de comércio eletrônico baseados em 55 países em todo o mundo. A equipe é chamada Keeper, e seus ataques consistem em comprometer o alvo e injetar código malicioso que exfiltra os detalhes do cartão de crédito e outras informações pessoais durante o processo de pagamento.

É uma operação clássica do Magecart e está provando ser bem-sucedida. De acordo com os cálculos de Gemini, entre abril de 2017 e os dias atuais, a gangue Keeper comprometeu cerca de 700 mil cartões de crédito, que têm um valor de mercado na web escuro de cerca de US $ 7 milhões. Vamos ver como os especialistas conseguiram tirar todas essas conclusões.

Um painel de login revelou toda a infraestrutura do Keeper

Os pesquisadores de Gemini descobriram a gangue Keeper quando seguiram o URL de exfiltração usado durante um ataque com Magecart. Eles foram recebidos por um formulário de login que eles tinham visto antes. Um painel de login idêntico havia sido usado em outros ataques do Magecart, e os pesquisadores sabiam que isso poderia ser significativo. Uma investigação adicional revelou que todos esses painéis de login apontaram para o mesmo servidor dedicado, o que confirmou que todos os ataques foram realizados pelo mesmo grupo de hackers. O nome "Keeper" vem do fato de o domínio "fileskeeper [.] Org" ter sido uma parte importante da infraestrutura do grupo.

Keeper - um formidável grupo Magecart

Tendo identificado todos os alvos anteriores, os pesquisadores de Gemini começaram a investigar as especificidades do modus operandi de Keeper. O grupo tem como alvo predominantemente pequenas lojas on-line menos populares, embora a lista de vítimas contenha alguns sites com mais de 500 mil visitantes mensais. Cerca de 85% dos sites atacados foram construídos com o Magento, o que não deve ser realmente uma surpresa. O Magento é uma das plataformas mais populares para a criação de sites de comércio eletrônico e, como o FBI alertou recentemente, muitas das lojas que o rodam estão repletas de vulnerabilidades facilmente exploráveis.

Depois de examinar de perto alguns dos ataques de Keeper, os especialistas de Gemini viram várias técnicas de ofuscação, o que sugeria que os hackers sabem o que estão fazendo. Os pesquisadores conseguiram encontrar um erro, no entanto. Um registro de acesso foi deixado desprotegido e, depois de dar uma olhada nele, os especialistas encontraram os detalhes de 184 mil cartões de crédito comprometidos entre julho de 2018 e abril de 2019. Foi assim que surgiu a estimativa dos lucros totais do Keeper.

Ao acessar sites menores, os hackers do Keeper não estão chamando muita atenção para si mesmos e, ao mesmo tempo, é óbvio que eles estão obtendo um lucro considerável na operação. Você precisa concordar que eles têm poucas razões para desistir agora.