Os Cibercriminosos Esconderam um Skimmer por Trás do Favicon de um Site

Um grupo de hackers criou recentemente um ícone falso de hospedagem de sites para ocultar códigos maliciosos, destinados a roubar dados de cartões de crédito dos sites invadidos. Os hackers fizeram uma campanha sofisticada que envolveu um ataque do Magecart, também conhecido como skimming na web.

Os invasores usam esse tipo de abordagem para violar a segurança nos sites e ocultar códigos maliciosos. O código rouba os detalhes do cartão de pagamento quando eles são inseridos no formulário de pagamento. Os ataques de skimming na Web vêm ocorrendo há alguns anos, com as empresas melhorando o contato com os invasores. Isso fez com que os autores de ameaças se tornassem mais inteligentes e inventivos, como é o caso de muitos golpes por aí.

Os Hackers Transformaram Falsos Ícones em um Portal de Hospedagem

Os pesquisadores de segurança viram o grupo aumentando as suas operações com novos truques e esforços sofisticados. Uma série de ataques estava sendo investigada, com a única parte modificada dos sites invadidos sendo o favicon, a pequena imagem mostrada nas guias do navegador. O novo favicon foi carregado e hospedado no MyIcons.net. A imagem estava sem o código malicioso, mas isso ainda levou os pesquisadores a investigar, com o código de escaneamento da Web sendo carregado em sites invadidos. A imagem era suspeita, com o favicon legítimo usado no MyIcons.net sendo usado para carregar em todos os sites, exceto nas páginas com formulários de pagamento.

Em páginas como essas, o site MyIcons.net trocou o favicon por um JavaScript malicioso. O script fazia parte de um formulário de pagamento falso feito para roubar os detalhes do cartão de qualquer usuário visitante. O site pode ser enganado ao acreditar que o site é um site legítimo e totalmente funcional, de acordo com os pesquisadores. Acontece que o MyIcons.net era um clone do IconArchive.com, um portal legítimo que hospeda esse conteúdo. O objetivo por trás do clone era agir como um engodo para outras partes do ataque.

O site estava hospedado em servidores usados em campanhas de skimming anteriores, de acordo com a empresa de segurança cibernética Sucuri.

Seja quem estiver por trás dessa operação, o grupo trabalhou duro para ocultar o código malicioso. A natureza dos ataques de captação de cartões dificulta a detecção por muito tempo, o que levou à descoberta da campanha. Até agora, esse caso é único, pois não houveram outros portais falsos de hospedagem de ícones usados em operações de escaneamento da Web, embora grupos de crimes cibernéticos em outros crimes tenham usado táticas semelhantes.

Exemplos disso podem ser vistos com as 28 falsas agências de publicidade registradas pela quadrilha Zircônio, destinadas a exibir anúncios maliciosos em muitos sites. O operador por trás do Trojan de Acesso Remoto Orcus também registrou e operou uma empresa no Canadá, que alegava fornecer software de acesso remoto aos trabalhadores da empresa.