Threat Database Malware MirrorThief Card Skimmer

MirrorThief Card Skimmer

Por GoldSparrow em Malware

Operações de skimming de cartão não são novidade no mundo do cibercrime. Indivíduos suspeitos realizam esses ataques há anos. Eles coletam informações de cartão de crédito e depois as vendem na Deep Web ou em vários sites de hackers. Recentemente, foi relatado que um total de 201 lojas on-line de faculdades nos Estados Unidos e no Canadá foram vítimas de um ataque de skimming de cartão.

Anteriormente, houve uma operação muito semelhante, realizada por um grupo de hackers chamado Magecart. No entanto, quando inspecionado, essa nova ameaça não parece se encaixar no perfil e os especialistas concluíram que essa deve ser a criação de um grupo emergente de hackers, que eles chamaram de Mirrorthief. O Skimmer MirrorThief Card se esconde no JavaScript no checkout dos sites infiltrados. Parece que os invasores criaram a sua ameaça para atacar a página de pagamento baseada na PrismWeb, especificamente porque essa é a plataforma de comércio eletrônico usada pelas lojas do campus. Isso é bastante incomum, pois os cibercriminosos não costumam limitar suas opções e normalmente criam skimmers de cartão capazes de infectar mais plataformas do que apenas uma. O MirrorThief Card Skimmer coleta todos os dados confidenciais que pode obter - números de cartão de crédito, números de verificação, tipo de cartão, data de validade, o nome do titular, bem como endereço e número de telefone da vítima.

O MirrorThief Card Skimmer consegue ficar fora do radar ao imitar o serviço do Google Analytics. Os invasores chegaram a criar um domínio para a sua ameaça, que deve se assemelhar ao site legítimo do Google Analytics.

Os detalhes de pagamento são armazenados em um arquivo JSON. Para proteger o arquivo, os invasores usam a criptografia AES e a codificação base64 antes de iniciar a transferência. O código do skimmer criará uma tag de imagem HTML no servidor comprometido que contém uma URL para o servidor do invasor, além de parâmetros adicionais usados para anexar o arquivo JSON criptografado. O image.tag funciona com uma imagem de 1 pixel, de forma que é impossível notá-lo sem olhar muito de perto o código-fonte da página.

Esses ataques não são incomuns e as lojas on-line precisam seguir as mais recentes tendências de segurança cibernética para garantir a segurança dos seus clientes, já que essa é sua responsabilidade.

Tendendo

Mais visto

Carregando...