O termo "Magecart" se refere a ataques na plataforma Magento. Recentemente, uma nova campanha em larga escala foi identificada visando sites Magento novamente. Entre eles, o site da Carlsberg foi um dos comprometidos.
O padrão desses ataques é quase sempre o mesmo. Uma única linha de JavaScript carrega conteúdo de um site remoto — ou seja, um script de terceiros. Esse código é então fortemente ofuscado para dificultar ainda mais a detecção.
Neste caso, o processo de pagamento foi alterado silenciosamente. Uma caixa falsa de método de pagamento foi adicionada à página da loja e exibida primeiro aos clientes. Ao digitar os dados do cartão de crédito, essas informações eram enviadas diretamente ao atacante.
Esse ataque foi chamado de ataque "CosmicSting" e foi reportado meses atrás. Uma análise muito detalhada e recente da Sansec pode ajudar você a se atualizar sobre o caso.
O URLScan arquivou o código que foi injetado:
O domínio https://artvislon[.]shop/img/ foi utilizado para injetar o seguinte código:
A partir daí, o Malwarebytes publicou mais detalhes sobre o próprio código, caso queira consultá-los. O código já foi removido dos sites afetados.
É curioso — e um tanto frustrante — que as empresas afetadas frequentemente não sejam identificadas pelo nome em relatórios como esses. Embora geralmente haja boas intenções por trás de manter suas identidades ocultas, isso nos faz questionar se esse silêncio pode ser parte do problema. Pelo menos foi o que nos fez pensar.
Se mais empresas fossem publicamente identificadas quando ataques client-side como o CosmicSting acontecem, isso poderia aumentar a conscientização tão necessária sobre os riscos de scripts de terceiros e malwares de skimming, além de evitar que outras marcas enfrentem ataques semelhantes.
Ao manter essas violações mais encobertadas, a mensagem transmitida a outras empresas e ao público parece abafada. Quando grandes marcas reconhecidas são vítimas, isso deveria servir de alerta para que outros negócios priorizem sua segurança client-side.
Essas empresas geralmente têm mais recursos e contam com equipes de segurança experientes e dedicadas. Empresas de todos os tamanhos enfrentam problemas com segurança client-side e não prestam atenção ao problema até que algo dê errado de forma visível e global.
Como vimos com o ataque ao Polyfill, dependendo do user agent, horário do dia e IP, um agente malicioso pode injetar um script malicioso. Aguardar que um crawler de segurança detecte o ataque em seu nome só vai capturar ataques não avançados e não direcionados.
A realidade é que, sem esse holofote sobre quem está sendo afetado, a urgência e a gravidade desses ataques podem não ser totalmente compreendidas por outros no setor.
Isso, por sua vez, poderia incentivar uma adoção mais rápida de melhores práticas de segurança e defesas mais robustas de forma geral.
Embora diversos conceitos tenham sido testados para combater esses tipos de ataques, nenhum realmente funcionou. Os feeds de ameaças são reativos e frequentemente erram completamente o alvo. Acabamos de reportar um caso em que feeds de ameaças deixaram de detectar um ataque por mais de 2 anos.
O Malwarebytes detectou o ataque graças a alguns de seus clientes que usavam o plugin de detecção do navegador. Ele interrompeu o ataque com sucesso para esses poucos clientes específicos, o que o torna uma ótima solução para quem já conhece os riscos — mas não para quem está fora desse contexto.
À medida que os ataques continuam acontecendo, e como esses ataques client-side são especialmente difíceis de identificar, criamos o cside para mudar isso. O proprietário do site instala nosso script para ser carregado primeiro, permitindo que o cside monitore, proteja e até otimize todos os outros scripts em seus sites. Você pode começar a proteger seu site e seus visitantes gratuitamente.
