Grupo Magecart alavanca novo skimming - Desta vez foi o Shopper Approved

Código malicioso removido dois dias após a violação. Desta vez o impacto é bem menor comparado com os incidentes passados na Ticketmaster, Feedify e British Airways.

Código malicioso removido dois dias após a violação. Desta vez o impacto é bem menor comparado com os incidentes passados na Ticketmaster, Feedify e British Airways.

Uma nova violação de segurança envolvendo o grupo Magecart veio à tona hoje, desta vez envolvendo uma empresa norte-americana denominada Shopper Approved que fornece um “widget de revisão” que outras empresas podem incorporar nos seus wsites de forma a recolherem opiniões e avaliações de clientes.

Este incidente ocorreu em 15 de setembro, de acordo com um relatório da RisqIQ, a empresa de segurança informática que o detectou.

RisqIQ says a hacker group gained access to Shopper Approved’s server infrastructure and planted malicious code inside a file located at https://shopperapproved.com/seals/certificate.js.

Este é um dos ficheiros que foram carregados em vários websites de terceiros como parte do widget do Shopper Approved.

O código malicioso plantado dentro desse ficheiro potencialmente legítimo continha um trecho de código que exfiltrava informações inseridas nos formulários de check-out e enviava-as para um servidor remoto, localizado em info-stat.ws e controlado pelo grupo APT.

A RisqIQ diz que este foi o mesmo servidor que foi usado no hack do Feedify, outra empresa que fornece um widget embutido, e que também foi comprometida pelo grupo Magecart em meados de setembro.

Desta vez, a infeção não durou semanas, como no caso do Feedify, apenas dois dias. A RisqIQ entrou em contato com Shopper Approved, que removeu o código na segunda-feira, 17 de setembro.

The reason why the hack was more limited in nature when compared to previous Magecart incidents was that most Shopper Approved customers didn’t load the rating widget on their store checkout page, and because the actual skimmer code only triggered on checkout pages that included certain keywords in the checkout URL.

Numa mensagem no seu website hoje, Shopper Approved diz que já entrou em contacto com os websites onde o código Skimmer Magecart foi carregado.

“Fortunately, we were able to quickly detect and secure the code related to the incident,” the company said.
“If you own an e-commerce company, it’s best to remove the third-party code from your checkout pages whenever possible,” said Yonathan Klijnsma, Head Researcher at RiskIQ.

Pedro Tavares

Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.

In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.