Vírus que rouba cartões é inserido durante o processamento de pagamentos
Cibercriminosos estão usando uma nova tática de ataque contra sites de e-commerce que utilizam a plataforma WordPress, inserindo o malware que rouba os dados do cartão de crédito na etapa de processamento do pagamento. O grande foco é a extensão WooCommerce, popular entre as páginas de venda de produtos e merchandising, com o novo método também servindo para escapar de medidas de segurança.
Em vez de injetar códigos maliciosos nos próprios sites, em páginas de produtos ou no carrinho, a praga agora aparece no gateway do módulo de pagamento. Isso coloca o malware em um ponto sensível do processo de compra, depois que o usuário já inseriu os dados de cartão de crédito e no momento em que ele clica para finalizar a compra, acionando o processamento que confirma a aquisição e desviando as informações para os golpistas. A prática também permite que nomes completos, endereços, telefones e documentos das vítimas sejam obtidos.
O formato de ataque, chamado de MageCart, aparece em um relatório da empresa de segurança Sucuri, que faz um alerta aos usuários do WooCommerce, presente em cerca de 40% das lojas online que usam WordPress. Mais especificamente, a injeção de código acontece a partir do site comprometido e na comunicação com o Authorize.net, um gateway de pagamentos que é usado mundialmente na verificação de cartões de crédito para confirmações de compra.
O foco em escapar de sistemas de segurança também aparece na forma furtiva com a qual os dados são enviados aos bandidos. Ao obter as informações, a praga compila um arquivo de imagem criptografado, com direito a senha aleatória e gerada automaticamente, que também dificulta a detecção do problema mesmo por sistemas que monitoram o tráfego pela rede — como medida adicional, as informações também são misturadas ao tráfego legítimo, dificultando ainda mais sua localização.
De acordo com os especialistas da Sucuri, a nova campanha vem em resposta a métodos de segurança aplicados diante da alta nos ataques envolvendo sites com WordPress. Com a adoção de ferramentas que analisam os códigos das páginas em busca de conteúdos maliciosos, os criminosos preferiram adotar novas táticas, mais furtivas e localizadas em momentos específicos do processo de compra, além de tomarem medidas adicionais para esconder o retorno das informações fraudadas.
O reforço nas medidas de segurança aplicadas ao site, com senhas seguras para contas de usuários e autenticação em duas etapas, assim como o monitoramento de alterações e tráfego suspeito, é recomendado para que os lojistas se protejam. Em seu relatório sobre o ataque, a Sucuri também traz indicadores de comprometimento que podem ser usados em análises específicas.
Fonte: Sucuri