Meyhod Skimmer

Os pesquisadores de Infosec detectaram um novo ataque do tipo Magecart. A ameaça implantada foi chamada de Meyhod Skimmer e foi descoberta escondida em vários sites de comércio eletrônico. Entre as vítimas estão a Bsley, popular empresa de produtos para tratamento capilar, e o Chicago Architecture Center (CAC), uma das maiores organizações culturais da cidade. Não apenas o Meyhod Skimmer foi incorporado aos sites afetados com sucesso, mas também conseguiu permanecer lá por vários meses sem ser detectado.

Uma análise revelou que o Meyhod Skimmer não é tão complexo quanto algumas das outras ameaças recentes do Magecart, como as últimas variantes do skimmer Grelos ou o Ant and Cockroach skimmer. Ser relativamente simplista não é um prejuízo, neste caso, já que os hackers responsáveis por liberar Meyhod tinham bastante experiência neste tipo de operação, obviamente. Eles elaboraram a ameaça meticulosamente para torná-la extremamente eficiente ao se misturar ao ambiente do site da vítima. Na verdade, os pesquisadores da infosec observaram que cada site infectado continha uma ameaça Meyhoid Skimmer que exibia pequenas variações em seu código, indicando que os cibercriminosos se deram ao trabalho de personalizar sua ferramenta de malware para o alvo específico.

A metodologia de um ataque do Meyhod Skimmer vê a ameaça sendo dividida em mais de uma dúzia de funções, o que ajuda na ofuscação. O próprio código corrompido está sendo anexado a recursos JavaScript legítimos que variam de bibliotecas JavaScript amplamente usadas a código criado de maneira personalizada. Os recursos modificados são então incorporados ao carrinho e às páginas de checkout por meio de tags de script que, em uma rápida olhada, podem ser confundidas com uma chamada comum para uma biblioteca. Uma das funções do Meyhod Skimmer, chamada 'saveData', tem a tarefa de obter os detalhes do cartão de crédito utilizando os seletores jQuery. Todos os dados coletados são então exfiltrados para os servidores de comando e controle estabelecidos para as operações por meio de solicitações AJAX POST.

O Meyhod Skimmer mostra que o cenário de ataques no estilo Magecart ainda está evoluindo, com os cibercriminosos adotando diferentes técnicas radicalmente. O objetivo final permaneceu o mesmo, entretanto - violar informações confidenciais de pagamento comprometendo sites de comércio eletrônico.

Meyhod aponta para o cenário Magecart em constante evolução e expansão, abrangendo o roubo de informações de pagamento por meio de sites de comércio eletrônico comprometidos.