Ladrões de cartão de crédito atacaram sites WooCommerce com novo skimmer

De acordo com Ben Martin, da empresa de segurança Sucuri, Ladrões de cartão de crédito atacaram sites WooCommerce com novo skimmer. Confira os detalhes desse incidente.

O WooCommerce é um plugin WordPress gratuito e de código aberto, com mais de 5 milhões de instalações ativas, que facilita a execução de sites de comércio eletrônico que podem ser usados ​​para “vender qualquer coisa em qualquer lugar”.

Ladrões de cartão de crédito atacaram sites WooCommerce com novo skimmer
Ladrões de cartão de crédito atacaram sites WooCommerce com novo skimmer

Agora, os ladrões de cartões de crédito estão mirando em sites de comércio eletrônico do WordPress equipados com WooCommerce com um malware dedicado à extração de cartões baseado em JavaScript, em vez de tentativas comuns de redirecionar pagamentos para contas controladas por invasores.

Ladrões de cartão de crédito atacaram sites WooCommerce com novo skimmer

Esta não é a primeira vez que as lojas virtuais do WooCommerce foram alvo de ataques de roubo de cartão de crédito (também conhecidos como ataques Magecart), como Willem de Groot, da Sanguine Security, disse em agosto de 2018 que os atacantes estavam tentando invadir lojas online que executavam o WooCommerce por um administrador forçado. senhas.

Ben Martin, da Sucuri, explicou que:

“Naturalmente, o WooCommerce e outros sites de comércio eletrônico baseados em WordPress já foram segmentados antes, mas isso normalmente se limita a modificações de detalhes de pagamento nas configurações do plug-in.”

“Por exemplo, encaminhar pagamentos para o e-mail do PayPal do invasor em vez do proprietário legítimo do site. Ver um malware dedicado ao passar o cartão de crédito no WordPress é algo bastante novo.”

Nova abordagem de desnatação de cartões

O ataque foi descoberto por Martin após vários relatórios fraudulentos de transações com cartão de crédito de clientes com sites de comércio eletrônico criados usando WordPress e WooCommerce.

Uma verificação de integridade de todos os arquivos principais das lojas eletrônicas impactadas revelou os arquivos maliciosos por trás desses relatórios, arquivos que apresentavam código malicioso adicionado ao final de arquivos JavaScript com aparência aparentemente inofensiva.

Sobre isso, Martin disse que:

“O JavaScript em si é um pouco difícil de entender, mas uma coisa é clara: a infecção salva o número do cartão de crédito e o CVV (código de segurança do cartão) em texto simples na forma de cookies.”

“Como é típico no malware PHP, várias camadas de codificação e concatenação são empregadas na tentativa de evitar a detecção e ocultar seu código principal do webmaster comum.”

O que faz com que esse ataque se destaque ainda mais é que os agentes de ameaças por trás dele incluíram o skimmer do cartão JavaScript nos arquivos principais do site, em vez de carregá-lo de um site de terceiros sob seu controle, como costuma fazer.

Limpando suas próprias pistas

As informações roubadas do cartão de pagamento são armazenadas em dois arquivos de imagem salvos no diretório wp-content/uploads.

No entanto, como Martin descobriu ainda mais, o skimmer de cartões de crédito pode ter a capacidade de cobrir suas próprias faixas, pois os arquivos foram zerados antes de começar a analisar os sites infectados.

Embora normalmente, o ponto de entrada usado pelos invasores para infectar um site de comércio eletrônico como parte de um ataque do Magecart seja simples de identificar, nesse caso, não era tão óbvio.

Nas palavras de Martin:

“Poderia ter sido uma conta wp-admin comprometida, senha SFTP, senha de hospedagem ou algum software vulnerável no ambiente.”

“Uma coisa que eu recomendaria a todos os interessados ​​na segurança do site do WordPress é desativar a edição direta de arquivos para o wp-admin adicionando a seguinte linha ao seu arquivo wp-config.php: define( ‘DISALLOW_FILE_EDIT’, true );.”

Táticas semelhantes também foram usadas para atacar sites WordPress usando o Stripe para pagamentos, com os atacantes empregando diferentes cargas maliciosas durante cada instância.

Em outubro de 2019, o Federal Bureau of Investigation (FBI) dos EUA emitiu um aviso sobre ameaças de e-skimming dirigidas a pequenas e médias empresas (SMBs) e agências governamentais que processam pagamentos on-line.

O que está sendo falado no blog

Post Views: 374

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.