Skimmers Magecart Card Expandir Carteira de Ataque

Magecart não é o nome de uma nova API de carrinho de compras on-line, mas o nome de uma rede de cibercriminosos que roubam credenciais de cartão de crédito há alguns anos. Um dos grupos que compõem a rede maior que é conhecida pelo nome de Magecart foi recentemente descoberto por pesquisadores de segurança para usar um novo método de ataque.

Magecart agora tem a capacidade de injetar sites de varejo com iframes que se parecem com uma interface de pagamento de cartão de crédito regular. A abordagem diferente usada neste caso é que a Magecart não procura um formulário de pagamento legítimo para substituir por um que possa ser desnatado. Em vez disso, o iframe com o formulário de pagamento malicioso é despejado no código de cada página do PHP, mas é exibido apenas quando a página tem um formulário de check-out do carrinho de compras normal.

O quadro mal-intencionado é formatado de uma maneira que deve ser relativamente óbvia para usuários experientes, e eles devem ser capazes de identificar o problema imediatamente, pois os campos necessários não são encontrados em nenhum formulário de pagamento normal. O processo também diz à vítima que eles serão redirecionados para um site de terceiros, onde a transação será finalizada - outra indicação de que algo não está certo com o pagamento e o procedimento usado.

Se tudo correr de acordo com o plano da Magecart, a página carrega código JavaScript externo de um domínio registrado por uma entidade russa. Isso, claro, tudo acontece sem alertar um usuário comum de forma alguma. Depois que as informações do cartão de crédito são coletadas e removidas pelos agentes mal-intencionados, o cliente inconsciente é redirecionado para a página de checkout legítima do varejista e precisa redigitar as informações do cartão de crédito. Esta segunda etapa de fazer essencialmente a mesma coisa deve ser outra bandeira vermelha para alertar os usuários de que algo não está certo.