Esta semana, implantamos um crawler especializado para fins de pesquisa. Em apenas 24 horas, ele identificou com sucesso novos padrões de ataque Magecart. Magecart é uma ameaça sofisticada e financeiramente motivada que injeta JavaScript malicioso para roubar informações pessoais de pagamento. Aqui está uma lista dos maiores ataques Magecart até o momento.
Detecção Inicial: JavaScript Ofuscado em Artifyau[.]com
URL detectada: https://artifyau[.]com/T1M0dVluVnBiR1J6YVhSbGNISnZMbU52YlE9PQ/jqwery.js.
A URL imita um arquivo JavaScript legítimo, potencialmente se passando pelo jQuery, mas uma rápida análise revela um erro de digitação ("jqwery" em vez de "jquery") — uma tática comum para disfarçar ataques. Ao inspecionar o arquivo, encontramos JavaScript altamente ofuscado, provavelmente elaborado para escapar da detecção. Veja um trecho da estrutura do código:
E aqui desofuscado e normalizado:
Esse tipo de ofuscação é comum em scripts Magecart, que têm como objetivo roubar informações de cartão de crédito ao injetar código malicioso nas páginas de checkout de sites comprometidos.
O Domínio Suspeito: Uma Análise Mais Detalhada
Uma consulta rápida revelou que artifyau[.]com foi registrado em 15 de outubro de 2024 e está configurado para expirar em um ano. Veja os metadados básicos que coletamos:
O domínio estava protegido pelo Cloudflare e uma busca rápida mostrou que estava à venda — algo incomum para um site que supostamente hospeda scripts legítimos.
A partir de uma varredura de URL, encontramos vários sites infectados: https://urlscan.io/search/#artifyau.com
Análise da Página HTML e do Domínio Secundário
A tag de script injetada:
Isso então carrega um documento políglotas. Em um contexto de segurança, políglotas são arquivos que constituem uma forma válida de múltiplos tipos de arquivo diferentes. Neste caso, válido como HTML e também como JavaScript, ao mesmo tempo:
Trata-se de código HTML comentado, onde o JS malicioso está no final do arquivo HTML comentado, provavelmente para escapar da detecção:
Se alguém acessar este site diretamente pelo navegador, a página abaixo será renderizada:
Se isso for injetado no site, será carregado como JavaScript. Em seguida, carrega o estágio final do JavaScript malicioso, que por sua vez carrega o arquivo jqwery.js. Decodificado, ele tem a seguinte aparência:
Ele revela múltiplos truques de anti-depuração e código de timeout, assim como outros arquivos JS Magecart conhecidos. Incluindo:
- setTimeout(_0x3481cd, 1000);
Isso é então usado para roubar as informações pessoais (PII) e dados de cartão de crédito das pessoas que visitam esses sites.
Em uma análise detalhada, encontramos o novo domínio utilizado pelo agente de ameaça: quantifymy[.]com.
Ambos os domínios estão protegidos pelo Cloudflare para ocultar seus IPs originais.
Encontramos outra lista de sites infectados por meio desta URL: https://urlscan.io/search/#quantifymy.com
Apenas o domínio é diferente; todas as outras TTPs permanecem as mesmas descritas acima.
Proteja seu site
No momento da publicação deste artigo, apenas um fornecedor de feed de ameaças havia reportado esses domínios como maliciosos no VirusTotal:
- https://www.virustotal.com/gui/domain/quantifymy.com
- https://www.virustotal.com/gui/domain/artifyau.com
Nosso proxy verifica cada script de terceiros sendo buscado pelo navegador. Em nossos testes, ele detectou e bloqueou com sucesso esses domínios de renderizar o script, protegendo o visitante. Você pode se cadastrar aqui.
