Campanha de ataque de coleta de dados da web
Pesquisadores de cibersegurança descobriram uma campanha de skimming em larga escala na web, ativa desde janeiro de 2022. A operação tem como alvo empresas que dependem das principais redes de pagamento, incluindo American Express, Diners Club, Discover, JCB Co., Ltd., Mastercard e UnionPay. Empresas que integram esses serviços de pagamento em seus sistemas de finalização de compra online são consideradas de alto risco.
Índice
Desnaturação Digital e a Evolução do Magecart
Os ataques de skimming digital são uma forma de comprometimento do lado do cliente em que agentes maliciosos injetam JavaScript malicioso em sites legítimos de comércio eletrônico e portais de pagamento. O código injetado coleta silenciosamente dados de cartão de crédito e informações pessoais enquanto os clientes inserem seus dados de pagamento.
Essa atividade se enquadra na categoria mais ampla conhecida como Magecart. O termo originalmente descrevia um conjunto heterogêneo de grupos de cibercriminosos focados em sites de comércio eletrônico baseados em Magento, mas desde então se expandiu para abranger operações de skimming em diversas plataformas e tecnologias.
Infraestrutura vinculada à evasão de sanções
A campanha foi identificada durante uma investigação sobre um domínio suspeito associado à Stark Industries, uma provedora de hospedagem à prova de balas que foi alvo de sanções. Sua empresa controladora, a PQ.Hosting, posteriormente renomeou o serviço para THE.Hosting, agora operado pela entidade holandesa WorkTitans BV, supostamente como uma forma de burlar as sanções.
O domínio cdn-cookie(dot)com foi encontrado hospedando arquivos JavaScript altamente ofuscados, como 'recorder.js' e 'tab-gtm.js'. Esses scripts estavam incorporados em lojas online comprometidas, onde permitiam a clonagem secreta de cartões de crédito.
Furtividade por meio da autodestruição e da consciência ambiental.
O skimmer foi projetado para evitar ativamente a detecção por administradores do site. Ele inspeciona o Modelo de Objeto de Documento (DOM) em busca da presença de 'wpadminbar', um elemento da barra de ferramentas visível quando administradores do WordPress ou usuários com privilégios estão conectados. Se esse elemento for detectado, o malware aciona imediatamente uma rotina de autodestruição, excluindo-se da página.
Para manter a persistência durante a navegação normal, o skimmer tenta ser executado sempre que o DOM da página muda, uma ocorrência comum durante a interação do usuário em sites modernos.
Armamentando Stripe com Manipulação de Interface
O código malicioso contém uma lógica específica projetada para explorar fluxos de finalização de compra baseados no Stripe. Quando o Stripe é selecionado, o skimmer verifica a existência de uma entrada no localStorage chamada 'wc_cart_hash'. Se o valor não existir, ele cria a chave e se prepara para coletar os dados.
Nesse ponto, o malware substitui dinamicamente o formulário de pagamento legítimo do Stripe por um falsificado. Através de manipulações sutis na interface, as vítimas são enganadas e induzidas a inserir o número do cartão, a data de validade e o código de segurança (CVC) no formulário falso.
Após o envio, a página retorna uma mensagem de erro, dando a impressão de que o pagamento falhou devido a informações incorretas e não por interferência maliciosa.
Roubo, exfiltração e limpeza de dados
As informações roubadas vão além dos dados do cartão de pagamento e incluem nomes completos, números de telefone, endereços de e-mail e endereços de entrega. O dispositivo de clonagem transmite esses dados por meio de uma solicitação HTTP POST para lasorie(dot)com.
Assim que o processo de exfiltração estiver concluído, o malware remove o formulário falso, restaura a interface legítima do Stripe e apaga os vestígios de sua atividade da página de finalização da compra. Em seguida, define 'wc_cart_hash' como 'true', garantindo que o skimmer não seja executado novamente para a mesma vítima.
Uma cadeia de ataque construída com base em profundo conhecimento da plataforma.
Os pesquisadores observam que o agente da ameaça demonstra um conhecimento avançado do funcionamento interno do WordPress e utiliza até mesmo recursos menos conhecidos da plataforma como parte do fluxo de ataque. Essa profundidade de conhecimento, combinada com técnicas sofisticadas de evasão e manipulação de interface, ressalta a maturidade e a persistência da operação.
