Hackers Atacam o Site da NutriBullet Usando um Malware que Rouba Cartōes de Crédito
O consórcio de hackers Magecart está de volta, desta vez visando seus esforços no site da NutriBullet. Eles geralmente estão envolvidos no ataque aos sistemas do carrinho de compras, na maioria das vezes o sistema Magento para se sair com as informações do cartão de pagamento.
De acordo com a pesquisa realizada pela empresa de segurança RiskIQ, os hackers entraram no site de um fabricante de liquidificador várias vezes nos últimos dois meses. Eles conseguiram injetar malwares maliciosos que roubavam cartões nas páginas de pagamento, roubando números de cartões de crédito, nomes, endereços, valores de verificação e muito mais. Isso aconteceu enquanto os clientes da empresa desconheciam a invasão. O mesmo aconteceu com a própria empresa antes que eles percebessem tudo. Os dados foram coletados e enviados para um servidor de terceiros controlado pelos invasores. As informações roubadas são normalmente vendidas e enviadas aos compradores nos mercados da Dark Web.
NutriBullet Lutando contra Inúmeras Invasões
A NutriBullet estava lutando contra as invasões removendo o código malicioso após a descoberta. O RIskIQ mencionou que os hackers ainda tinham acesso à infraestrutura da empresa, o que tornava possível atacar o site NutriBullet repetidas vezes. O chefe de pesquisa de ameaças da RiskIQ, Yonathan Klijnsma, alertou os usuários contra o uso do site até que a empresa consiga realizar uma limpeza.
Peter Huh, diretor de informações da NutriBullet, confirmou as invasões e disse que está investigando o assunto. A empresa trabalhará em estreita colaboração com especialistas externos em segurança cibernética para garantir que mais invasões sejam interrompidas.
Esse foi o último ataque feito pelo Magecart, o grupo ou possivelmente grupos de hackers por trás do ataque coletivo. Todos esses ataques têm semelhanças em motivação e objetivos, táticas e técnicas usadas nos atos. Até agora, existem oito grupos conhecidos do Magecart, segundo Klijnsma, todos focados em roubar informações de cartão de crédito para obter lucro.
Os hackers associados ao coletivo Magecart foram vistos atingindo várias empresas, como British Airways, Ticketmaster, Newegg, empresa de eletrônicos de consumo. Eles até atacaram a American Cancer Society, entre outros alvos.
Usando a ajuda de outros equipamentos de segurança, especificamente o Shadowserver e o AbuseCH, a RiskIQ conseguiu derrubar o domínio malicioso que o coletivo Magecart estava usando para enviar suas informações de cartão de crédito roubadas. De acordo com o RiskIQ, o grupo ainda tem acesso à infra-estrutura NutriBullet, portanto, provavelmente eles ainda podem continuar criando novos domínios maliciosos de comando e controle que podem usar para reinfectar o site com mais malware de raspagem de cartão.
Os Muitos Grupos do Magecart estão Operando Separadamente?
O coletivo Magecart possui vários grupos identificados como parte de sua composição. O que agora é chamado de Grupo 1 foi visto ativo desde 2014. Eles visaram milhares de sites com ataques e malware. Seu objetivo era coletar dados na época, com o Grupo 2 e o Grupo 3 seguindo o exemplo. Eles tinham aumentado o alcance e os ataques que perseguiam o malware de roubo de cartão e uma variedade maior de provedores de pagamento.
O grupo 4, por outro lado, enfrentou a maior parte das vítimas dos ataques coletivos. Mais de 3000 sites foram invadidos, o grupo retirou o máximo de detalhes do cartão do maior número possível de sites.
As vítimas de maior destaque pertenceram às operações do Grupo 5. Eles conseguiram realizar ataques à cadeia de suprimentos contra fornecedores de códigos de terceiros. Eles eram direcionados para caixas de bate-papo de atendimento ao cliente, presentes em muitos sites corporativos. Os ataques carregavam o ataque de malware que o grupo tinha em mente. Isso permitiu ao grupo expandir seus ataques em grande escala. O Grupo 6 focou-se em atores significativos específicos, como Newegg e British Airways.