Magecart: roubam seu cartão de crédito ao visitar um site com um ícone simples

Existem maneiras cada vez mais engenhosas de roubar dinheiro online . Um dos itens mais procurados pelos hackers são os cartões de crédito on – line , pois eles podem rapidamente roubar centenas de euros antes que o proprietário perceba, ou eles também vendem esses dados para que outros possam usá-los para roubar. Agora, eles conseguiram roubá-los simplesmente acessando um site, ocultando as informações em um ícone.

Isso foi revelado por um relatório preparado pela Malwarebytes, onde uma loja que usava um plugin do WordPress chamado WooCommerce foi infectada com um script Magecart para roubar cartões. Os ataques do Magecart consistem apenas nisso: injetar JavaScript malicioso em um site para roubar informações de pagamento dos usuários no processo de compra.

Eles ocultam o código malicioso dentro de um favicon

O que diferencia esse ataque de outros ataques conhecidos é que o script não foi injetado diretamente no código da web, mas nos metadados EXIF de um favicon da web. Nos metadados, as informações geralmente são armazenadas, como o criador do arquivo, a data de criação ou a câmera ou o PC em que a foto foi criada ou processada. No entanto, a parte de Copyright dos metadados do ícone inclui JavaScript malicioso , como podemos ver na imagem a seguir:

Depois que o script foi executado no navegador do usuário, todas as informações do cartão de crédito inseridas no processo de compra foram enviadas de volta aos atacantes para fazer o que quisessem. O grupo que foi associado a este ataque é chamado ” Magecart Group 9 “.

Os dados que foram enviados de volta também foram ocultados nas imagens

Outro ponto perigoso desse ataque é que o favicon estava hospedado em um domínio externo; portanto, uma análise de segurança do site de vendas não teria produzido nenhum alerta. Assim, eles receberam informações como o nome ou o endereço de entrega do pedido e tudo foi reinserido nas imagens através de solicitações POST, dificultando ainda mais a detecção do envio de informações para um servidor controlado por hackers.

Esta não é a primeira vez que um plugin malicioso do WordPress está envolvido em tais ataques. Alguns meses atrás, também foi descoberto um bug no WooCommerce que permitia que invasores executassem cargas de XSS para criar contas com permissões de administrador em domínios vulneráveis. Portanto, é altamente recomendável que você não use este plugin.