fbpx

Ataque em andamento rouba dados de cartões de diversos sites

A Netlab 360 Security publicou no último dia 8 que seus especialistas detectaram um ataque massivo em curso que afeta diversas lojas eletrônicas.

Através de uma de suas tecnologias conhecida com DNSMon (um sistema de análise de domínios maliciosos), eles puderam encontrar em 2018 um domínio anormal com um tráfego considerado baixo de nome magento-analytics[.]Com, e a partir de então mantiveram um monitoramento dele.

As investigações mostraram que esse domínio foi utilizado para injetar scripts JS maliciosos em vários sites de compras on-line para roubar informações de cartões de crédito e de seus proprietários. Os atacantes conseguem coletar o nome do proprietário, número do cartão, tempo de expiração e código CVV, e posteriormente utilizam esses dados para compras ou os vendem.

O domínio está registrado no Panamá, mas nos último meses, o ip passou do Arizona – EUA para Moscou – Russia, depois mudou para Hong Kong – China” informa o relatório divulgado.

De acordo com a análise, ao ser acessado por meio de um navegador a página retorna 403 e pesquisas em ferramentas de busca não trazem muitas informações.

Fonte: Blog.Netlab.360 – JS do domínio magento-analytcs

Segundo a Netlab, seu funcionamento é bem simples. “Assim que o JS é carregado, um temporizador é setado e a função TrySend é chamada a cada 500ms para tentar obter dados de entrada como Número / Suporte / Data / CVV, etc., uma vez obtido sucesso, ele finalmente chama SendData para reportar os dados para [hxxps: //magento-analytics.com/gate.php]. 
Os outros JSs nos URLs, seja um JS parecido com um hash de 13 bytes, ou um JS com nome especial, como powermusic.js / monsieurplus.js / powermusic.js, fornecem a mesma função.”

Fonte: Blog.Netlab.360 – JS do domínio magento-analytcs implementado em alvo

De acordo com o rastreamento feito, eles puderam detectar que atualmente 105 sites de e-commerce estão infectados com esse JS, e é possível que existam mais que ainda não foram descobertos.

Eles ainda afirmam que o domínio malicioso encontrado não tem nenhuma relação com a Magento, empresa fornecedora de software de e-commerce CMS e que foi adquirida pela Adobe em 2018. O mais provável é que o uso do nome magento-analytics[.]Com foi escolhido justamente para confundir os usuários e administradores das páginas. “Do ponto de vista do DNS, Magento e magento-analytics nunca compartilharam qualquer elemento, existem em clusters totalmente separados, como pode ser visto no diagrama abaixo”.

#Ax3




Menu