Grupo Magecart 7 está a utilizar novo esquema skimmer para roubar dados de pagamento.

Investigadores da empresa de segurança RiskIQ descobriram uma nova campanha Magecart em andamento que já comprometeu pelo menos 19 websites diferentes para roubar dados dos cartões de pagamento dos clientes.

Os investigadores descobriram um novo skimmer, apelidado de “MakeFrame”, que injeta iframes HTML em páginas web para capturar os detalhes de pagamento.

A RiskIQ acompanha diferentes grupos de Magecart. Com base nos indicadores da empresa, estes recentes ataques são atribuídos ao grupo  Magecart Group 7.

“On January 24th, we first became aware of a new Magecart skimmer, which we dubbed MakeFrame after its ability to make iframes for skimming payment data.” reads the report published by RiskIQ.

“Since then, we have captured several different versions of the skimmer, each sporting various levels of obfuscation, from dev versions in clear code to finalized versions using encrypted obfuscation. So far, RiskIQ has observed MakeFrame on 19 different victim sites.”

 

A versão do skimmer detetada pelos investigadores é o blob clássico do Magecart codificado em hexadecimal e ofuscado, incluído no código-fonte legítimo do website na tentativa de evitar a sua detecção.

O skimmer implementa mais algumas camadas de sofisticação, como a validação do uso de code beautifier – uma abordagem de forma a tornar o código mais legível para quem analisa este tipo de ameaças.

É impossível desofuscar o código devido a uma verificação  (_0x5cc230 [‘removeCookie‘] ) que impede qualquer alteração. O código do skimmer é reconstruído apenas se a verificação for aprovada.

A análise do e-skimmer MakeFrame revelou também a capacidade de emular o método de pagamento usando iframes para criar uma forma de pagamento e capturar os detalhes de pagamento fornecidos pelas vítimas.

Os investigadores encontraram o código do skimmer em todos os websites ecommerce comprometidos por eles analisados.

Os dados exfiltrados são enviados de volta para o mesmo servidor ou para outro domínio invadido pelo grupo (ou seja, piscinasecologicas [.] com) na forma de um ficheiro.php . Esse método de exfiltração foi observado em ataques anteriores associados ao Magecart Group 7.

“This method of exfiltration is the same as that used by Magecart Group 7, sending stolen data as .php files to other compromised sites for exfiltration. Each compromised site used for data exfil has also been injected with a skimmer and has been used to host skimming code loaded on other victim sites as well.” continues the report.

“Looking back on our prior breakdown of Group 7’s skimming code from our report Inside Magecart, the method of encoding stolen data as one long string of base64 is strikingly similar between older Group 7 skimmers and these newer samples. “

 

As evidências recolhidas pelo RiskIQ demonstram que os grupos Magecart continuam  a aprimorar as suas técnicas e os e-skimmers que empregam nas campanhas. A RiskIQ informou ainda que os ataques com Magecart cresceram 20% com o surto do COVID-19.

“With many homebound people forced to purchase what they need online, the digital skimming threat to e-commerce is as pronounced as ever.” concluded RiskIQ.

“As we saw in the attacks on NutriBullet and other victims, there are a variety of ways to attack the functionality of a website.”

 


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *