Skimmer de Cartão de Credito Perseguindo Sites do ASP.NET
Uma campanha identificada por pesquisadores de segurança de computadores em abril estava roubando credenciais para sites de comércio eletrônico. Os pesquisadores conseguiram identificar a campanha de redução de crédito, direcionada a um alvo específico - sites baseados em ASP .NET em execução nos servidores Microsoft Internet Information (IIS). Os pesquisadores conseguiram descobrir a campanha que estava comprometendo pelo menos uma dúzia de sites, variando de organizações esportivas, associações comunitárias e de saúde e uma cooperativa de crédito. O método usado foi um código malicioso injetado nas bibliotecas JavaScript existentes nos sites.
A campanha, exposta pelo Malwarebytes, parece estar explorando uma versão mais antiga do ASP.NET, especificamente a versão 4.0.30319, que não é mais suportada oficialmente devido a várias vulnerabilidades. A campanha de skimming começou por volta de abril de 2020, com o primeiro domínio sendo hivnd [.] Net, com 33.220.60 [.] 108 registrado por um agente de ameaças que usa um endereço ProtonMail.
Na maioria dos casos, os invasores injetam o código de verificação na biblioteca JavaScript comprometida, mas em alguns casos, ele é carregado remotamente; nesse caso, os atacantes carregaram o skimmer de um domínio remoto - thxrq [.] com.
O Que são Skimmers de Cartão de Crédito?
Os skimmers de cartão de crédito são malwares que lêem e registram os detalhes do cartão de crédito durante transações legítimas, usadas pelos agentes de ameaças. Os atacantes por trás das campanhas geralmente colocam os detalhes à venda nos fóruns da dark web para ganhar mais dinheiro com essas invasões. As transações no ponto de venda, como auto-checkout ou bombas de posto de gasolina, são um dos principais alvos desses ataques, mas qualquer tipo de transação de comércio na web que use cartão de crédito pode ser vulnerável.
Embora o ASP.NET não seja tão popular quanto o PHP, ele ainda é usado em blogs pessoais e pequenas empresas. Muitos sites a usam para a funcionalidade do carrinho de compras. Esses portais de compras são direcionados pela campanha, mostrando que qualquer site pode ser vítima de invasores. Em alguns casos, alguns sites são invadidos e injetados sem serem os alvos pretendidos.
Na maioria desses ataques, os agentes de ameaças usavam rotas diferentes para procurar dados e senhas de cartão de crédito. Algumas dessas funcionalidades foram mal implementadas, o que dificultou a identificação dos pesquisadores durante a análise. Uma vez que os pesquisadores conseguiram identificar a campanha e os sites afetados, eles entraram em contato com as vítimas, na esperança de reconhecer a violação e tomar medidas para fortalecer sua segurança.
Informações recentes sobre os ataques nos sites .NET mostraram que uma vulnerabilidade conhecida (CVE-2017-9248) para a interface de usuário do Telerik para ASP.NET estava sendo explorada. Os invasores carregavam shells da web .aspx para execução remota de código. A página da Telerik oferece conselhos e correções que os proprietários podem aplicar, mas também devem manter sua versão do ASP.NET atualizada.