Skimmer sorrateiro de cartão de crédito disfarçado de rastreador inofensivo do Fb
![credit card hacking](https://i2.wp.com/blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgOCYb9qtVaQLqfpVlF7Gjof9vaG1lbxAyL9I0yyEpEnCYWmVZKZeBiLYk0ILaFfWmphRyFnAH4QhzPBTCKs7Y-XTGTUK0iA5KywiQtlvZNC-LxUoqTpmmVpMFkbjL147cGFa22x3yjPhwOfqLQ-mwMSxy5uaxJAPgKXOZHi0d_XXKodGfogvjHzUBFWChO/s728-rw-e365/credit-card-hacking.png?w=780&resize=780,470&ssl=1)
![Skimmer de cartão de crédito Skimmer de cartão de crédito](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgOCYb9qtVaQLqfpVlF7Gjof9vaG1lbxAyL9I0yyEpEnCYWmVZKZeBiLYk0ILaFfWmphRyFnAH4QhzPBTCKs7Y-XTGTUK0iA5KywiQtlvZNC-LxUoqTpmmVpMFkbjL147cGFa22x3yjPhwOfqLQ-mwMSxy5uaxJAPgKXOZHi0d_XXKodGfogvjHzUBFWChO/s728-rw-e365/credit-card-hacking.png)
Pesquisadores de segurança cibernética descobriram um skimmer de cartão de crédito escondido em um script rastreador Meta Pixel falso, na tentativa de evitar a detecção.
Sucuri disse que o malware é injetado em websites por meio de ferramentas que permitem código personalizado, como plug-ins do WordPress como Easy Customized CSS e JS ou a seção “Scripts diversos” do painel de administração do Magento.
“Os editores de scripts personalizados são populares entre os malfeitores porque permitem JavaScript externo de terceiros (e maliciosos) e podem facilmente fingir ser benignos, aproveitando convenções de nomenclatura que correspondem a scripts populares como Google Analytics ou bibliotecas como JQuery”, disse o pesquisador de segurança Matt Morrow. .
O falso script rastreador Meta Pixel identificado pela empresa de segurança da internet contém elementos semelhantes aos de sua contraparte legítima, mas um exame mais detalhado revela a adição de código JavaScript que substitui referências ao domínio “join.fb(.)web” por “b-connected (.) com.”
![Cíber segurança](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiuUUskkMH9dUT3LF77_Q_irGuaE4LGjp-Am2Ls_UzGJ5EBnZHfuFiSvKs4OPE5KmfedBHcuZZVHS4Bh48UJx8brpwtg6Vr2Gepbaw-lGMIm9HjUhyphenhyphen2W5DVm5-ymwPS691Ie32TrCqFIv6SxNRA-jOKCKZrOB5dV7BfL0zVAhOO0neNkP9yv-XePBU1hN_0/s728-e365/wing-d.png)
Embora o primeiro seja um domínio genuíno vinculado à funcionalidade de rastreamento de Pixel, o domínio substituto é usado para carregar um script malicioso adicional (“fbevents.js”) que monitora se a vítima está em uma página de checkout e, em caso afirmativo, veicula uma mensagem fraudulenta. sobreposição para obter os detalhes do cartão de crédito.
É importante notar que “b-connected(.)com” é um website de comércio eletrônico legítimo que foi comprometido em algum momento para hospedar o código do skimmer. Além do mais, as informações inseridas no formulário falso são exfiltradas para outro website comprometido (“www.donjuguetes(.)es”).
Para mitigar esses riscos, é recomendável manter os websites atualizados, revisar periodicamente as contas de administrador para determinar se todas são válidas e atualizar as senhas com frequência.
Isso é particularmente importante porque os agentes de ameaças são conhecidos por aproveitar senhas fracas e falhas nos plug-ins do WordPress para obter acesso elevado a um website de destino e adicionar usuários administradores desonestos, que são então usados para realizar várias outras atividades, incluindo a adição de plug-ins e backdoors adicionais.
![Skimmer de cartão de crédito Skimmer de cartão de crédito](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiuN9mRsTLQprjW3tyYLg36NgXNDexszXv955PTWsyhu2pRD1j5Svl3cXpfX6iTlUZSVfZH4ZjWp3m3gCAUeXcjuN6aUWMrzhYmXI5AyYtnmteHPZg2nZkgbgEAJSYiKJn7sFufkDSZ3wr7-AQHLhhrXMOD4mfBsPcRWbITMB8ApXPKExesbi0TRrvXemQc/s728-rw-e365/code.png)
“Como os ladrões de cartão de crédito muitas vezes esperam por palavras-chave como ‘checkout’ ou ‘onepage’, elas podem não se tornar visíveis até que a página de checkout seja carregada”, disse Morrow.
“Como a maioria das páginas de checkout são geradas dinamicamente com base em dados de cookies e outras variáveis passadas para a página, esses scripts escapam dos scanners públicos e a única maneira de identificar o malware é verificar a origem da página ou observar o tráfego de rede. Esses scripts são executados silenciosamente no fundo.”
O desenvolvimento ocorre no momento em que a Sucuri também revela que websites construídos com WordPress e Magento são alvo de outro malware chamado Magento Shoplift. Variantes anteriores do Magento Shoplift foram detectadas na natureza desde setembro de 2023.
![Cíber segurança](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj9LS2CMV85AM5f2fKKl2aPAnQ1iZEQKbHh7hRbW3rn3MowE5BXNOrNlHsrMYRMndplTjEmzciLAj6jVsDkRJI2IdSfFXSXuSlMn6gSgmzjKktBgyRTJsC-MayMQq8Z580Hjp8oCv0WoplbNRKlOEzR3RqajPwbLY2JzbQpwEIaW6u2UDkYmcWPO_Mmzq-X/s728-e365/cis-d.png)
A cadeia de ataque começa com a injeção de um trecho de JavaScript ofuscado em um arquivo JavScript legítimo responsável por carregar um segundo script de jqueurystatics(.)com by way of WebSocket Safe (WSS), que, por sua vez, é projetado para facilitar a clonagem de cartão de crédito e roubo de dados enquanto se disfarça como um script do Google Analytics.
“O WordPress também se tornou um grande participant no comércio eletrônico, graças à adoção do Woocommerce e outros plug-ins que podem facilmente transformar um website WordPress em uma loja on-line completa”, disse o pesquisador Puja Srivastava.
“Essa popularidade também torna as lojas WordPress um alvo principal – e os invasores estão modificando seu malware de comércio eletrônico MageCart para atingir uma gama mais ampla de plataformas CMS.”