Pesquisadores de segurança cibernética lançaram luz sobre uma nova campanha de skimmer digital que utiliza técnicas de ofuscação Unicode para ocultar um skimmer chamado Mongolian Skimmer.
“À primeira vista, o que mais se destacou foi a ofuscação do roteiro, que parecia um pouco bizarro por causa de todos os personagens com sotaque”, disseram os pesquisadores da Jscrambler em uma análise. “O uso intenso de caracteres Unicode, muitos deles invisíveis, torna o código muito difícil de ser lido pelos humanos.”
Descobriu-se que o script, em sua essência, aproveita a capacidade do JavaScript de usar qualquer caractere Unicode em identificadores para ocultar a funcionalidade maliciosa.
O objetivo ultimate do malware é roubar dados confidenciais inseridos em caixas de comércio eletrônico ou páginas de administração, incluindo informações financeiras, que são então exfiltradas para um servidor controlado pelo invasor.
O skimmer, que normalmente se manifesta na forma de um script embutido em websites comprometidos que busca a carga actual de um servidor externo, também tenta evitar esforços de análise e depuração, desativando certas funções quando as ferramentas de desenvolvedor de um navegador da internet são abertas.
“O skimmer usa técnicas bem conhecidas para garantir compatibilidade entre diferentes navegadores, empregando técnicas modernas e legadas de manipulação de eventos”, disse Pedro Fortuna da Jscrambler. “Isso garante que ele possa atingir uma ampla gama de usuários, independentemente da versão do navegador.”
A empresa de proteção e conformidade do lado do cliente disse que também observou o que descreveu como uma variante “incomum” do carregador que carrega o script skimmer apenas em casos em que eventos de interação do usuário, como rolagem, movimentos do mouse e touchstart, são detectados.
Esta técnica, acrescentou, poderia servir tanto como uma medida anti-bot eficaz quanto como uma forma de garantir que o carregamento do skimmer não esteja causando gargalos de desempenho.
Diz-se também que um dos websites Magento comprometidos para entregar o skimmer mongol foi alvo de um ator de skimmer separado, com os dois grupos de atividades aproveitando comentários do código-fonte para interagir entre si e dividir os lucros.
“50/50 talvez?”, comentou um dos atores da ameaça em 24 de setembro de 2024. Três dias depois, o outro grupo respondeu: “Concordo 50/50, você pode adicionar seu código :)”
Então, em 30 de setembro, o primeiro ator da ameaça respondeu, dizendo “Tudo bem), então como posso entrar em contato com você? Você tem acesso ao exploit? (sic)”, provavelmente referindo-se ao fórum de crimes cibernéticos Exploit.
“As técnicas de ofuscação encontradas neste skimmer podem ter parecido, para olhos não treinados, um novo método de ofuscação, mas não foi o caso”, observou Fortuna. “Ele usou técnicas antigas para parecer mais ofuscado, mas são igualmente fáceis de reverter.”