Os ataques de Magecart (web skimming) estão evoluindo para uma direção em que serão cada vez mais difíceis de detectar

Por 

switch do roteador vpn do rack do servidor

Pesquisadores de segurança da IBM encontraram evidências de que os hackers estão trabalhando na criação de scripts maliciosos que podem ser implantados em roteadores “Layer 7” de nível comercial para roubar detalhes de cartões de pagamento.

 

Essa descoberta muda o que os pesquisadores chamam de ataques Magecart , também conhecidos como skimming na web. São ataques nos quais hackers plantam códigos maliciosos em uma loja online que registra e rouba detalhes do cartão de pagamento.

Até agora, o código específico do Magecart era entregue apenas no nível do site, oculto em arquivos JavaScript ou PHP. No entanto, essa nova descoberta é uma escalada dos ataques do Magecart para um novo nível, onde o código malicioso é injetado no nível do roteador, em vez de ser adicionado por hackers em sites desatualizados.

O QUE SÃO ROTEADORES L7

Os roteadores da camada 7 ou L7 são um tipo de roteador comercial para serviços pesados ​​que geralmente é instalado em redes grandes, como hotéis, shoppings, aeroportos, cassinos, redes governamentais, espaços públicos e outros.

Eles funcionam como qualquer outro roteador, exceto com o benefício adicional de poder manipular o tráfego na sétima camada (nível de aplicativo) do modelo de rede OSI – o que significa que eles podem reagir ao tráfego com base em mais do que apenas endereços IP, como cookies , nomes de domínio, tipos de navegadores e muito mais.

Em um relatório publicado hoje , pesquisadores da equipe de Serviços de Inteligência e Resposta a Incidentes X-Force da IBM (IRIS) disseram ter encontrado evidências de que um grupo conhecido de hackers estava testando scripts Magecart para implantar em roteadores L7.

A idéia é que os hackers comprometam os roteadores L7 e usem seus poderosos recursos de manipulação de tráfego para injetar esses scripts maliciosos nas sessões ativas dos navegadores dos usuários.

Os pesquisadores do IBM IRIS disseram que os scripts encontrados foram projetados especificamente para extrair dados de cartões de pagamento de lojas on-line e carregar as informações roubadas em um servidor da Web remoto.

Os pesquisadores disseram ter encontrado esses scripts depois que os hackers fizeram o upload dos arquivos no VirusTotal, um agregador de antivírus baseado na Web. Os hackers parecem estar testando se seu código seria detectado pelos mecanismos antivírus que fazem parte do agregador VirusTotal.

No total, os pesquisadores do IBM IRIS encontraram 17 scripts, organizados em cinco grupos, com base em sua finalidade.

magecart-on-routers.png
Imagem: IBM IRIS

GRUPO DE HACKERS CONHECIDO POR TRÁS DOS “TESTES DE ARQUIVOS DO ROTEADOR”

Os pesquisadores disseram que domínios e outros indicadores no código vinculavam os 17 arquivos a um grupo conhecido de hackers conhecido como Magecart # 5.

Esse é um agente de ameaças conhecido que se envolveu em invadir empresas de TI e plantar códigos de roubo de cartões em seus produtos. Eles também usaram CDNs (redes de entrega de conteúdo) e anúncios para entregar o código malicioso.

Esses tipos de ataques são chamados de skimming na Web, ou ataques Magecart, e ocorrem há pelo menos três anos, mas se tornaram uma tendência popular no ano passado. Um relatório do RiskIQ publicado no ano passado se aprofundou nos ataques do Magecart.

Yonathan Klijnsma , chefe de pesquisa de ameaças da RiskIQ, disse que o grupo Magecart nº 5 é um dos mais sofisticados de todos os grupos que sua empresa acompanhou.

Em seu relatório de 2018, o RiskIQ identificou 12 grupos Magecart, mas a IBM disse que agora está acompanhando 38 dessas entidades.

NÃO ESTÁ CLARO SE OS “ARQUIVOS DE TESTE” AGORA SÃO USADOS ​​NO MUNDO REAL

Os pesquisadores do IBM IRIS disseram que os scripts de teste do grupo Magecart nº 5 encontrados foram carregados no VirusTotal entre 11 e 14 de abril.

Não está claro se os hackers implantaram os scripts em roteadores do mundo real, mas as chances são de que eles o fizeram.

A IBM IRIS observou que, historicamente, o grupo Magecart nº 5 atua ativamente no roubo de dados de cartões de pagamento inseridos nos formulários de checkout de lojas online selecionadas dos EUA e da China. Essas também podem ser as lojas que eles segmentarão se implantarem scripts maliciosos nos roteadores.

Da perspectiva do usuário, não há muito o que as vítimas possam fazer para impedir um ataque do Magecart executado no nível do roteador, exceto evitar fazer compras on-line a partir de redes públicas ou não confiáveis, como as de hotéis, aeroportos ou shoppings.

No entanto, ao fazer compras em casa, os usuários ainda estão expostos a ataques Magecart que dependem da inserção de código malicioso no nível do site.

Mas pode haver uma solução. Nos últimos meses, respondendo ao aumento dos ataques Magecart (skimming da web), os pesquisadores de segurança começaram a recomendar o uso de um serviço de “cartão virtual”, no qual os usuários obtêm um número de cartão de pagamento único que podem ser usados ​​apenas para uma transação.

Mesmo se o número do cartão for usado em um site comprometido, depois que a transação for concluída, o número do cartão se tornará inútil para os hackers posteriormente. A desvantagem é que os serviços de “cartão virtual” nem sempre estão disponíveis em todos os países do mundo, e nem todos os usuários poderão obter um.

Os ataques de Magecart que evoluem para a injeção de código malicioso no nível do roteador não são realmente uma surpresa para a maioria dos especialistas em segurança. Os roteadores inseguros foram invadidos na última década antes, geralmente para redirecionar os usuários para links de phishing, downloads maliciosos, injetar scripts de quebra de criptografia ou injetar anúncios para obter lucros dos criminosos. Foi apenas uma questão de tempo até os grupos Magecart perceberem que podiam fazer o mesmo, mas inserir o código de roubo de cartões em vez do que os grupos anteriores usaram no passado.

Fonte: ZDNET