Nova tendência de skimming: injetando scripts maliciosos nos roteadores – Nova maneira de roubar dados

Nova tendência de skimming: injetando scripts maliciosos nos roteadores – Nova maneira de roubar dados

13 de outubro de 2019 0 Por Suporte Rede Digital

Os cibercriminosos parecem estar trabalhando em uma nova maneira de roubar dados de cartões de pagamento. De acordo com os pesquisadores de segurança da IBM, atualmente um grupo de hackers está desenvolvendo scripts maliciosos para usar em roteadores Layer 7 (L7) de nível comercial.

Isso mudaria completamente os métodos vistos em ataques de escorregamento, como o Magecart, pois até agora o código malicioso usado pelos hackers era entregue no nível do site via arquivos JavaScript ou PHP. Alterar a superfície de ataque pode ser considerado uma evolução nos ataques movidos a Magecart.

Primeiro de tudo, vamos ver o que exatamente é um roteador da camada 7. É um tipo de roteador comercial para serviços pesados, típico para grandes redes, inclusive as governamentais. A diferença para qualquer outro roteador é que um dispositivo da camada 7 é capaz de manipular o tráfego no nível do aplicativo, também conhecido como sétimo nível, do modelo de rede OSI. Em outras palavras, o roteador pode responder ao tráfego não apenas de acordo com o endereço IP, mas também cookies, nomes de domínio, tipos de navegadores etc.

Então, o que os pesquisadores da IBM descobriram em suas análises?

A equipe identificou atividades maliciosas atribuídas ao grupo de criminosos cibernéticos Magecart 5. A pesquisa mostra que os hackers Magecart estão “provavelmente testando códigos maliciosos projetados para injeção em arquivos JavaScript benignos carregados por roteadores Layer 7 de nível comercial, roteadores normalmente usados ​​por aeroportos, cassinos, hotéis e resorts”. O cenário de ataque analisado revela que o ataque contra esse tipo de roteador pode permitir a injeção de anúncios mal-intencionados, bem como o acesso a outras partes da rede comprometida.

Como aconteceria um ataque contra roteadores L7?

Esses ataques são baseados na ideia de que os invasores utilizariam os roteadores L7 e abusariam de seus recursos de manipulação de tráfego para injetar scripts maliciosos nas sessões ativas do navegador dos usuários. De fato, a IBM diz que o grupo Magecart recentemente injetou código malicioso em um módulo deslizante móvel de código aberto:

O MG5 normalmente usa JavaScript e provavelmente injetou seu código em uma biblioteca JS veiculada a desenvolvedores de aplicativos para dispositivos móveis. Esse código-fonte aberto é fornecido como uma ferramenta licenciada e gratuita do MIT, projetada para fornecer recursos de swiping em dispositivos móveis. Ao infectar esse código em sua origem, o MG5 pode infectar e comprometer todos os aplicativos que incorporam esse módulo em seu código e roubar dados de usuários que eventualmente baixam os aplicativos bloqueados.

Além disso, os scripts de que os pesquisadores se apossaram pareciam ter sido criados especificamente para extrair detalhes de cartões de pagamento de lojas on-line e enviar informações coletadas para um servidor da Web remoto. É curioso observar que os scripts foram descobertos porque os invasores fizeram o upload dos arquivos no VirusTotal, o que talvez tenha sido feito por razões de teste para verificar se o código seria detectado pelos mecanismos antivírus.

A IBM descobriu 17 desses scripts e os agrupou em 5 seções, de acordo com sua finalidade.

Atualizado em: 6 de setembro de 2018

O que os usuários podem fazer para evitar esses ataques?

Infelizmente, não há muito que um usuário possa fazer para contornar um ataque no nível do roteador. A única coisa certa é evitar fazer compras em lojas online suspeitas ou redes públicas, como as de hotéis, shoppings e aeroportos. No entanto, fazer compras em casa também apresenta riscos.

Ainda há esperança, pois os pesquisadores de segurança recomendam algo chamado cartão virtual. Essa abordagem significa que o usuário obtém um número de cartão de pagamento único usado apenas para uma transação.

O que é um cartão virtual? É um cartão de crédito pré-pago, que permite fazer compras livremente online. O cartão virtual possui apenas um número e não possui uma operadora física. Com este cartão, os usuários podem confiar na segurança e proteção de seus pagamentos online.

Isso significa que, mesmo que o número do cartão seja usado em um site perigoso, o número do cartão será inútil após a conclusão da transação. A desvantagem do cartão virtual é que ele ainda não está amplamente disponível para usuários em todo o mundo e pode não ser fácil obtê-lo.

A mudança de tática dos hackers Magecart em suas operações de escumação não é tão surpreendente, pois os ataques no nível do roteador não são vistos. Roteadores inseguros foram alvo de muitos ataques, como phishing, criptografia e downloads de malware.