Novo Ataque do Magecart Visa Sites WooCommerce
Desde outubro de 2019, houve um aumento nos ataques do Magecart, com os ataques geralmente envolvendo hackers que visam plataformas usadas para processar pagamentos eletrônicos quando os con sumidores fazem compras on-line. Os atacantes conseguiram roubar dados do cartão de crédito, injetando um código JavaScript malicioso nos carrinhos das plataformas afetadas. O código, que tinha apenas 22 linhas, foi capaz de vasculhar os detalhes do cartão de crédito, enviando-os para um servidor de comando e controle. Os detalhes são vendidos na Dark Web ou usados para comprar mercadorias às custas das vítimas.
Um artigo da empresa de segurança Sucuri analisou a nova campanha de ataque direcionada ao plug-in WooCommerce WordPress. Esse é um plug-in gratuito e de código-fonte aberto com mais de 5 milhões de instalações ativas, facilitando a sua execução nos sites de comércio eletrônico. O artigo explicava que os plugins haviam sido alvo de ataques semelhantes antes, com o Prestashop e o Magento sendo afetados. A empresa se referiu a esses ataques como swipers de cartão, que são ameaças que envolvem o encaminhamento de pagamentos para o e-mail do PayPal do invasor, e não os proprietários legítimos dos cartões. A campanha direcionada ao WooCommerce que envolveu a injeção de malware no WordPress é um novo desenvolvimento.
O JavaScript Malicioso Usado na Campanha
O ataque foi encontrado quando um cliente relatou que vários clientes tiveram casos de transações fraudulentas com cartão de crédito depois que fizeram compras no site. O pesquisador percebeu que o cliente não usava outras plataformas com esses problemas, apenas o WordPress e o WooCommerce.
Depois que as verificações de integridade foram realizadas no código, a injeção maliciosa foi descoberta. O JavasScript foi difícil de analisar, mas era evidente que a infecção salvou o código de segurança CVV e o número do cartão de crédito na forma de cookies. Os swipers de cartão de crédito são comuns quando os invasores desejam usar um JavaScript malicioso em sites de terceiros. Os bloqueadores de script podem parar a maioria deles, mas quando um arquivo do site JavaScript é modificado, as alterações não são fáceis de detectar. O fato do malware estar dentro de um arquivo já existente dificultava a identificação.
Foi descoberto que o código do malware concatenava um código de correção de erros que tornava mais difícil para os administradores da web detectarem qualquer intenção maliciosa. Essa é uma tática comum para malware PHP e outro malware usado para evitar a detecção pelo maior tempo possível. O malware foi incluído nos arquivos principais do site, algo que não é comumente visto. Na maioria dos casos, o malware que rouba dados dos cartões é carregado de sites de terceiros sob o controle dos atacantes. Os atacantes tomaram muito cuidado para cobrir os seus rastros, principalmente despejando detalhes em dois arquivos de imagem. Isso não é incomum; quando os pesquisadores analisaram os arquivos, as imagens já haviam sido apagadas. Isso fez co que a análise deles ficasse incompleta.
WooCommerce Ainda está sob Ataque
Para os proprietários de sites comprometidos, a preocupação óbvia é como os invasores conseguiram fazer o que fizeram. As respostas não são fáceis de encontrar, pois, em muitos casos, os sites são vítimas de vulnerabilidades comuns e sem correçōes, que podem ser resolvidas com o simples ato de corrigi-las. Outros casos podem ser mais complicados, como o recente, onde havia menos informações para descobrir como os hackers comprometeram o site. Existem muitas possibilidades, desde comprometer a conta wp-admin, hospedar senha, senha SFTP ou outro software comprometido. Os proprietários dos sites WordPress são aconselhados a tomar medidas extras de segurança, desativando a edição direta do arquivos para o wp-admin adicionando a linha "define('DISALLOW_FILE_EDIT', true );" no arquivo wp-config.php.
Ataques futuros nas plataformas WooCommerce são prováveis, bem como os do Stripe e Magento. Dadas as últimas campanhas direcionadas ao plugin já em agosto de 2018, onde mais de 7000 sites foram injetados no MagentoCore.net, o skimmer MageCart é particularmente agressivo.