Pesquisadores de segurança cibernética descobriram um skimmer de cartão de crédito escondido em um script rastreador Meta Pixel falso, na tentativa de evitar a detecção.
Sucuri disse que o malware é injetado em websites por meio de ferramentas que permitem código personalizado, como plug-ins do WordPress como Easy Customized CSS e JS ou a seção “Scripts diversos” do painel de administração do Magento.
“Os editores de scripts personalizados são populares entre os malfeitores porque permitem JavaScript externo de terceiros (e maliciosos) e podem facilmente fingir ser benignos, aproveitando convenções de nomenclatura que correspondem a scripts populares como Google Analytics ou bibliotecas como JQuery”, disse o pesquisador de segurança Matt Morrow. .
O falso script rastreador Meta Pixel identificado pela empresa de segurança da internet contém elementos semelhantes aos de sua contraparte legítima, mas um exame mais detalhado revela a adição de código JavaScript que substitui referências ao domínio “join.fb(.)web” por “b-connected (.) com.”
Embora o primeiro seja um domínio genuíno vinculado à funcionalidade de rastreamento de Pixel, o domínio substituto é usado para carregar um script malicioso adicional (“fbevents.js”) que monitora se a vítima está em uma página de checkout e, em caso afirmativo, veicula uma mensagem fraudulenta. sobreposição para obter os detalhes do cartão de crédito.
É importante notar que “b-connected(.)com” é um website de comércio eletrônico legítimo que foi comprometido em algum momento para hospedar o código do skimmer. Além do mais, as informações inseridas no formulário falso são exfiltradas para outro website comprometido (“www.donjuguetes(.)es”).
Para mitigar esses riscos, é recomendável manter os websites atualizados, revisar periodicamente as contas de administrador para determinar se todas são válidas e atualizar as senhas com frequência.
Isso é particularmente importante porque os agentes de ameaças são conhecidos por aproveitar senhas fracas e falhas nos plug-ins do WordPress para obter acesso elevado a um website de destino e adicionar usuários administradores desonestos, que são então usados para realizar várias outras atividades, incluindo a adição de plug-ins e backdoors adicionais.
“Como os ladrões de cartão de crédito muitas vezes esperam por palavras-chave como ‘checkout’ ou ‘onepage’, elas podem não se tornar visíveis até que a página de checkout seja carregada”, disse Morrow.
“Como a maioria das páginas de checkout são geradas dinamicamente com base em dados de cookies e outras variáveis passadas para a página, esses scripts escapam dos scanners públicos e a única maneira de identificar o malware é verificar a origem da página ou observar o tráfego de rede. Esses scripts são executados silenciosamente no fundo.”
O desenvolvimento ocorre no momento em que a Sucuri também revela que websites construídos com WordPress e Magento são alvo de outro malware chamado Magento Shoplift. Variantes anteriores do Magento Shoplift foram detectadas na natureza desde setembro de 2023.
A cadeia de ataque começa com a injeção de um trecho de JavaScript ofuscado em um arquivo JavScript legítimo responsável por carregar um segundo script de jqueurystatics(.)com by way of WebSocket Safe (WSS), que, por sua vez, é projetado para facilitar a clonagem de cartão de crédito e roubo de dados enquanto se disfarça como um script do Google Analytics.
“O WordPress também se tornou um grande participant no comércio eletrônico, graças à adoção do Woocommerce e outros plug-ins que podem facilmente transformar um website WordPress em uma loja on-line completa”, disse o pesquisador Puja Srivastava.
“Essa popularidade também torna as lojas WordPress um alvo principal – e os invasores estão modificando seu malware de comércio eletrônico MageCart para atingir uma gama mais ampla de plataformas CMS.”
