Magecart ataca novamente e sites de reservas de hotéis ficam sob fogo

Uma nova onda de ataques ligados ao Magecart está ocorrendo, com os sites de reservas de hotéis se tornando as vítimas mais recentes.

No início desta semana, a empresa de segurança cibernética Trend Micro disse que, no início de setembro, dois sites de reservas de hotéis – pertencentes a redes separadas – estavam sendo injetados com um skimmer de cartões baseado em JavaScript.

Se o script foi acessado remotamente através de um navegador padrão em um PC, o JavaScript carregado não era malicioso.

No entanto, se solicitado a partir de um dispositivo móvel, como um aparelho Android ou iOS, o “mesmo link também pode baixar um script diferente”, diz a equipe, que é, na verdade, uma escumadeira de cartão de crédito.

O código injetado, que apareceria na página de pagamento dos sites do hotel, parece estar ativo desde 9 de agosto. Os detalhes do cartão de pagamento inseridos pelas vítimas inconscientes são coletados e enviados para um servidor remoto controlado pelos atacantes.

A Trend Micro diz que os sites impactados não hospedam o código, mas foram encontrados em scripts fornecidos pelo desenvolvedor dos domínios, Roomleader.

Especificamente, uma biblioteca JavaScript chamada pelos sites clientes do Roomleader usa um módulo chamado “seenHotels”. O módulo pretende ser uma maneira de salvar as informações exibidas do hotel nos cookies do navegador dos visitantes, mas está servindo malware.

A Trend Micro diz que, embora o número de sites afetados seja pequeno, ainda é significativo, considerando que uma marca atende 107 hotéis, enquanto a outra suporta 73 hotéis. Esses estabelecimentos estão localizados em um total de 28 países.

O skimmer em si é genérico e copia dados, incluindo nomes, endereços de email, números de telefone e detalhes do cartão de pagamento. No entanto, um elemento interessante é o fato de que este ataque relacionado ao Magecart remove qualquer entrada de informações do cartão de crédito em uma página de reserva e a substitui por outra versão criada.

De acordo com a equipe, há duas razões para isso que são mais prováveis ​​- a primeira é que alguns hotéis não solicitarão um código de segurança CVV / CVC até que cheguem e, substituindo o formulário, os atores de ameaças também podem tentar para proteger esses dados importantes.

Em segundo lugar, pode ser devido à reserva de páginas que hospedam informações de pagamento em um domínio diferente usando iframes HTML em uma tentativa de ajudar na segurança.

“Nesse cenário, um skimmer regular de JavaScript não poderá copiar os dados dentro do iframe seguro”, diz a Trend Micro. “Portanto, o atacante remove o iframe do formulário de cartão de crédito seguro e injeta seu próprio formulário para que o skimmer possa copiar as informações”.

O código injetado verificará qual idioma está sendo usado – como inglês, espanhol ou francês – e adicionará um formulário de cartão de crédito malicioso correspondente.

Não se sabe quantas pessoas podem ter sido impactadas. A Trend Micro diz que também é difícil determinar se esse grupo de ameaças esteve ou não envolvido em campanhas anteriores do Magecart devido à falta de evidências fornecidas pela infraestrutura ou código da rede, mas acrescentou que certamente é “possível”.

No passado, os grupos Magecart eram conectados a ataques de skimmer contra empresas como Ticketmaster, Newegg e British Airways.

Pesquisadores da RiskIQ recentemente documentaram uma nova tendência relacionada ao Magecart – a compra de domínios antigos e vazios para novos esquemas de publicidade maliciosa.

Esses domínios são usados para hospedar scripts maliciosos chamados por sites infectados, além de facilitar o roubo de dados. Segundo os pesquisadores, uma vez que um domínio é reconhecido, afundado e cortado da cadeia de ataques, os fraudadores esperam até que eles também expirem e retornem ao mercado pelos registradores.

Quando isso ocorre, esses domínios são comprados e as rotas de chamadas antigas baseadas em JavaScript são substituídas não por malwares que roubam cartões, mas páginas com anúncios – o que sugere que aqueles por trás desse ‘mercado secundário’ estão tentando lucrar com publicidade fraudulenta.

Deixe um comentário abaixo para sabermos à sua opinião sobre esse assunto, e não deixe de visitar: https://www.deltaservers.com.br/ para acompanhar todas as novidades que preparamos para você!

Deixe uma resposta

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.