O que aconteceu no Shrwaa.com
Um site de e-commerce popular no Kuwait, executando uma versão desatualizada do Magento (2.4), foi comprometido por uma injeção de JavaScript malicioso, expondo dados de pagamento de clientes. A vulnerabilidade, provavelmente vinculada ao bug CosmicSting no Magento, foi corrigida, mas sites não atualizados permanecem em risco.
Diferentemente de outros sites impactados, Shrwaa[.]com está sendo explorado como infraestrutura para ataques adicionais. Uma varredura de URL mostra vários sites referenciando Shrwaa[.]com, que hospeda múltiplos arquivos JavaScript maliciosos:
Como este domínio atualmente não está sendo sinalizado por feeds de ameaças (um grande problema quando se trata de ataques client-side), os atacantes o usam como infraestrutura e para acelerar o processo de infectar mais sites.
Um arquivo chamado jquery.js está apenas levemente ofuscado, nos dando uma visão de como a injeção funciona. Este arquivo cria uma página HTML simples que engana os usuários para que insiram seus detalhes de pagamento. Essas páginas falsas se sobrepõem aos formulários de pagamento legítimos:
Como nenhum monitoramento de scripts de terceiros e prática de segurança está em vigor, este ataque permanece ativo, e provavelmente está ativo desde dezembro de 2023.
Ataques permanecem comuns na plataforma Magento. Estes são conhecidos como ataques Magecart, e alguns dos maiores incidentes envolveram táticas similares. (LINK)
Se Shrwaa[.]com tivesse o cside em vigor, ele teria bloqueado o código malicioso e alertado o site para removê-lo. Notificamos eles e outros sites sobre o ataque.
Você pode proteger seu site gratuitamente criando uma conta cside.
