Os 570 domínios têm sites de comércio eletrônico de pequenos e médios comerciantes, espalhados por 55 diferentes países

A consultoria de segurança Gemini Advisory, de Miami, descobriu que um grupo de cibercriminosos contaminou 570 domínios com o script Magecart, e está roubando dados de cartões de pagamento. Do total, 21 domínios são do Brasil (veja lista abaixo). Os 570 sites de comércio eletrônico das vítimas são principalmente pequenos e médios comerciantes, espalhados por 55 diferentes países.

A Gemini analisou o tamanho dos sites das vítimas usando o Alexa Rank da Amazon, que gera uma pontuação básica com base em visitantes únicos diários e no número de visualizações de página. As vítimas do topo do Ranking Global Alexa receberam entre 500.000 e mais de um milhão de visitantes por mês e foram responsáveis pela venda de eletrônicos, roupas, jóias, produtos promocionais personalizados e bebidas alcoólicas.

Nos últimos seis meses, a equipe da empresa descobriu milhares de ataques do Magecart, variando desde a simples injeção dinâmica de código malicioso (usando um domínio criminoso apenas para contaminação), até o aproveitamento dos serviços de armazenamento do Google Cloud, GitHub e esteganografia para incorporar código malicioso em um domínio – por exemplo em logotipos e outras imagens do domínio contaminado.

Um dos grupos que ataca operações de comércio eletrônico invadiu a plataforma Volusion CMS, infectando mais de 6.000 sites de comércio eletrônico com scripts de roubo de cartão de pagamento no terceiro trimestre de 2019.

O grupo que chamou mais atenção da Gemini foi batizado de “Keeper”. Ele disfarça seus domínios maliciosos como serviços legítimos, imitando nomes conhecidos, alterando o domínio de nível superior ou vários caracteres no nome do domínio. Um desses domínios foi o closetlondon [.], numa tentativa de imitar o closetlondon.com. O grupo também tentou imitar plugins e gateways de pagamento populares.

A consultoria determinou que os domínios para exfiltração dos dados usam painéis de login idênticos e estão vinculados ao mesmo servidor dedicado; esse servidor hospeda o payload malicioso e os dados roubados dos sites das vítimas. Mais de 85% dos sites contaminados operavam estavam instalados no Magento, o principal alvo de ataques do Magecart, e que possui mais de 250.000 instalações em todo o mundo. O país com o maior número de sites de comércio eletrônico infectados é os Estados Unidos, com 28%, seguidos pelo Reino Unido e pela Holanda.

Estes são os domínios brasileiros infectados:

aescolar.com.br (Tambaú, SP)
stuttgart.com.br (Blumenau, SC)
baudaeletronica.com.br (Guarulhos, SP)
camafeo.com.br (São Paulo, SP)
cikala.com.br (São Paulo, SP)
villapano.com.br (São Paulo, SP)
dentalcaliari.com.br (São Bernardo do Campo, SP)
carolinekuchkarian.com.br (São Paulo, SP)
editoramultimidia.com.br (Rio de Janeiro, RJ)
emporiolaszlo.com.br (Belo Horizonte, MG)
estripulia.com.br (Belo Horizonte, MG)
finaideia.com.br (São Paulo, SP)
viverorganizerstore.com.br (São Paulo, SP)
korova.com.br (Palhoça, SC)
espacodoacabamento.com.br (São Paulo, SP)
raceking.com.br (Santos, SP)
metalhorse.com.br (Santos, SP)
mukiranabeauty.com.br (São Paulo, SP)
mundomaior.com.br (Guarulhos, SP)
ponttolavabo.com.br (São José dos Pinhais, PR)
rugol.com.br (São Paulo, SP)

Fonte: CISO Advisor (https://www.cisoadvisor.com.br/grupo-esta-roubando-cartoes-em-21-dominios-no-brasil-570-no-mundo/)