Blog Attacks

Os maiores ataques Magecart da história (até agora)

De onde vem o termo "Magecart" Os ataques Magecart são um tipo de ciberataque onde hackers injetam código JavaScript malicioso, frequentemente r

Oct 17, 2024 • 13 min read

Simon Wijckmans Founder & CEO

the-biggest-magecart-attacks-image-cover

De onde vem o termo "Magecart"

Os ataques Magecart são um tipo de ciberataque onde hackers injetam código JavaScript malicioso, frequentemente chamado de scripts de "skimming", em sites. Pode ser qualquer tipo de site, mas quando falamos de Magecart, são quase exclusivamente sites de e-commerce para tentar capturar detalhes de cartões de crédito.

O termo "Magecart" se origina da combinação de "Magento", uma popular plataforma de e-commerce de código aberto, e "cart", referindo-se ao recurso de carrinho de compras nesses sites. A onda inicial de ataques tinha como alvo sites baseados em Magento, levando à criação do termo.

Esses tipos de ataques também se enquadram nos termos guarda-chuva de "ataques do lado do cliente" e "ataques à cadeia de suprimentos web".

Evolução para um Termo Genérico

Com o tempo, "Magecart" evoluiu de se referir a um grupo específico de hackers para um termo guarda-chuva usado para descrever um estilo mais amplo de ataques:

Imitadores: Como os métodos do grupo Magecart original se mostraram eficazes, outros grupos cibercriminosos adotaram técnicas similares.
Expansão: Enquanto os primeiros ataques Magecart focavam principalmente em sites Magento, o escopo se ampliou significativamente. Os atacantes agora têm como alvo uma variedade de sistemas de gerenciamento de conteúdo (CMS) e plataformas de e-commerce, como WooCommerce, PrestaShop, Shopify e sites personalizados.
Sempre scripts de terceiros: Os ataques Magecart modernos frequentemente exploram vulnerabilidades em serviços de terceiros integrados aos sites, como widgets de chat, scripts de análise ou processadores de pagamento. Essa mudança de táticas de atacar apenas as plataformas de e-commerce em si para atacar o ecossistema web mais amplo contribuiu para a aplicação mais ampla do termo.
Maior conscientização pública: Incidentes de alto perfil envolvendo grandes marcas como British Airways, Ticketmaster e Newegg trouxeram atenção significativa da mídia aos ataques Magecart. Frequentemente artigos mencionam o nome como referência, embora não seja necessariamente um ataque "Magecart" no sentido original da palavra.

Em geral, quando alguém menciona Magecart, pense em skimming digital.

Os maiores ataques Magecart até agora

Vamos ter em mente que esses são os ataques Magecart que conhecemos atualmente. É provável que haja muitos mais acontecendo agora. Se descobrirmos ataques adicionais, atualizaremos este post.

Classificamos esses amplamente com base em pessoas impactadas, implicações financeiras, cobertura da mídia e danos à reputação.

1. British Airways

Este é frequentemente considerado o maior e mais notório ataque Magecart. É também o que mais citamos. Parcialmente, porque compramos o domínio usado naquele ataque, baways.com (seguro agora), e contamos a história completa do ataque lá.

Página educacional agora hospedada no domínio baways.com

Embora gostaríamos de dizer que tivemos que passar por esquemas elaborados para conseguir isso, apenas o compramos em um registro público. Leia essa história aqui.

Neste ataque, o domínio foi comprado pelos atacantes e inserido em um script de terceiros adulterado para permanecer sob o radar por mais tempo. Afinal, BAWAYS soa como um domínio legítimo da British Airways.

Mas em outros casos, domínios expirados ou vendidos que aparecem em scripts de terceiros têm um caminho direto para explorar muitos sites de uma só vez. Embora não seja um ataque Magecart, o recente ataque Polyfill nos mostrou por que é importante proteger seu site contra isso.

O hack da British Airways (BA) de setembro de 2018, foi um ataque Magecart bastante sofisticado que comprometeu as informações pessoais e financeiras de cerca de 380.000 pessoas. Os hackers exploraram vulnerabilidades no sistema de pagamento online da British Airways injetando código JavaScript malicioso no site e aplicativo móvel da companhia aérea. Este código foi especificamente projetado para capturar informações de pagamento em tempo real conforme os clientes inseriam seus detalhes na página de pagamento.

Os dados roubados incluíam nomes, endereços de e-mail e detalhes completos de cartões de crédito, incluindo códigos CVV, tornando-os altamente valiosos para atividades fraudulentas. E, o ataque passou despercebido por mais de duas semanas, permitindo aos atacantes tempo amplo para coletar informações sensíveis dos clientes.

Esta violação teve repercussões significativas para a British Airways, tanto financeiramente quanto reputacionalmente. O Information Commissioner's Office (ICO) do Reino Unido multou a British Airways em £20 milhões ($26 milhões) e a violação também levou a críticas generalizadas das práticas de cibersegurança da British Airways.

2. Ticketmaster

Este ataque afetou aproximadamente 40.000 clientes, mas foi significativo devido ao envolvimento de um provedor de serviços de terceiros (Inbenta).

Novamente, os atacantes injetaram código JavaScript malicioso neste widget de terceiros, permitindo-lhes desviar detalhes de cartões de crédito, nomes, endereços e outras informações sensíveis dos clientes conforme as transações eram processadas no site da Ticketmaster. O código malicioso permaneceu não detectado por vários meses, durante os quais os atacantes coletaram dados valiosos dos clientes.

Como resultado, a Ticketmaster enfrentou críticas por não avaliar adequadamente seus parceiros de terceiros e pela demora em detectar e responder à violação.

Em maio de 2024, experimentamos um pouco de déjà vu quando notícias surgiram de outro incidente da Ticketmaster que tinha uma semelhança impressionante com a infame violação de dados de 2018.

Este novo incidente foi um tanto similar ao primeiro, já que a Ticketmaster confirmou atividade não autorizada dentro de um ambiente de banco de dados em nuvem de terceiros, alegando ter exposto as informações pessoais de mais de 500 milhões de clientes. Aqui está nossa análise completa desta última violação da Ticketmaster.

3. Newegg

O hack da Newegg é um daqueles ataques Magecart clássicos sobre os quais as pessoas ainda falam. Este foi bastante sorrateiro e mostrou o quão astutos os atacantes poderiam ser. Também em 2018, hackers conseguiram inserir algum código JavaScript malicioso direto na página de checkout do site da Newegg. Seu objetivo? Você adivinhou, fazer skimming de informações de cartões de crédito de clientes enquanto faziam compras. O ataque também passou despercebido por mais de um mês, o que deu aos atacantes bastante tempo para coletar uma boa quantidade de dados sensíveis.

O que tornou este ataque particularmente interessante foi a forma como os hackers operaram. Eles não atacaram o site principal da Newegg diretamente; em vez disso, imitaram o próprio script de processamento de pagamento da Newegg para fazer seu código malicioso se misturar quase perfeitamente. Foi uma jogada inteligente que lhes permitiu voar sob o radar por tanto tempo. Os dados roubados incluíam tudo, desde nomes e endereços até números de cartões de crédito e códigos CVV.

Embora a resposta da Newegg ao ataque não tenha sido tão rápida quanto alguns poderiam ter esperado, o incidente certamente colocou os holofotes na necessidade de práticas de segurança mais vigilantes, especialmente em torno de páginas de pagamento. É uma das razões pelas quais os requisitos atualizados do PCI DSS 4.0 incluem a proteção de scripts em páginas de pagamento, leia sobre isso se os clientes fazem pagamentos em seu site.

4. Múltiplos sites Magento

Em vez de ir atrás de um grande peixe, os atacantes foram pela quantidade entre 2020 e 2021, explorando vulnerabilidades em mais de 2.000 sites de e-commerce Magento. A estratégia era simples, mas eficaz: usar falhas conhecidas em instalações Magento desatualizadas para injetar scripts de skimming em páginas de checkout e capturar informações de cartões de crédito conforme clientes desavisados faziam suas compras.

O que é fascinante aqui é a pura escala deste ataque. Não se tratava apenas de atingir alguns sites; tratava-se de aproveitar uma vulnerabilidade generalizada para impactar um número massivo de empresas de uma só vez.

Este tipo de ataque é particularmente preocupante para pequenas e médias empresas, que frequentemente não têm o mesmo nível de segurança que os grandes players. E para aqueles ainda executando versões mais antigas do Magento, este foi um alerta.

Um dos ataques Magecart Magento mais recentes e maiores aconteceu com a Segway em 2022. Os atacantes miraram vulnerabilidades no próprio CMS ou em um dos plugins instalados no site da Segway. Após violar isso, eles novamente adicionaram JavaScript malicioso. Aqui, aparecia como o copyright do site, mas na verdade era usado para carregar um favicon externo.

Dentro desse arquivo favicon, um domínio malicioso foi colocado que carregava código externo para fazer skimming de informações de pagamento de clientes desavisados. Leia nosso artigo completo sobre esse ataque aqui.

5. Volusion

O hack da Volusion em 2019-2020 é outro ataque Magecart que ilustra perfeitamente os perigos das vulnerabilidades da cadeia de suprimentos. Desta vez, os atacantes foram atrás da Volusion, um provedor de plataforma de e-commerce que alimenta milhares de lojas online.

Ao comprometer a própria infraestrutura da Volusion, os hackers conseguiram injetar seu JavaScript malicioso em um arquivo JavaScript servido a todos os sites usando os serviços da Volusion. Eles não precisaram mirar lojas individuais uma por uma, apenas precisaram entrar através do provedor da plataforma e tiveram acesso às páginas de pagamento de todas essas lojas de uma só vez.

O impacto foi enorme, afetando inúmeras pequenas e médias empresas que dependiam da Volusion para executar suas operações de e-commerce. Clientes que compraram nessas lojas tiveram seus detalhes de cartões de crédito desviados, o que novamente incluía nomes, números de cartões, datas de validade e CVVs.

Quando seu negócio depende de um provedor de serviços, as vulnerabilidades deles se tornam suas vulnerabilidades.

O que aprendemos sobre Magecart até agora

Vamos olhar para alguns temas comuns nesses três maiores ataques Magecart:

Eles sempre têm como alvo ferramentas de terceiros ativas em sites (na maioria das vezes scripts de terceiros).
Os ataques sempre permanecem não detectados por um tempo
Eles sempre estão atrás de sites onde pessoas comuns compram online

Então, se você administra um site com essas características, os alarmes deveriam estar soando agora. Você pode proteger seus scripts de terceiros e impedir que esses ataques aconteçam.

Mais ataques Magecart

Vamos olhar para alguns outros ataques Magecart notáveis:

Warner Music Group

O hack do Warner Music Group em 2020 foi outro ataque notável no estilo Magecart que se estendeu por vários meses, impactando múltiplos sites de e-commerce associados a esta grande gravadora. Hackers injetaram scripts maliciosos nas páginas de checkout das lojas online da Warner Music, permitindo-lhes fazer skimming de informações de pagamento de clientes comprando mercadorias e produtos digitais.

Sites Claire's e Icing

A Claire's, a popular varejista de acessórios e joias, teve um ano difícil em 2020 quando foi vítima de não um, mas dois ataques Magecart. Depois de ser inicialmente violada, a empresa pensou que tinha a situação sob controle, mas os atacantes conseguiram reinfectar seus sites logo após o primeiro ataque.

American Cancer Society

A violação da American Cancer Society em 2019 atingiu particularmente forte, e mostra que nem mesmo organizações sem fins lucrativos estão seguras de ataques Magecart. Qualquer organização ou site com informações pode, e será, alvo.

Os atacantes injetaram código JavaScript malicioso na página de doações do site da organização, visando roubar informações de cartões de crédito de doadores.

Macy's

Atacantes conseguiram comprometer o sistema de pagamento online da loja de departamentos americana, injetando código malicioso para roubar informações de pagamento diretamente de clientes durante o processo de checkout. Embora o número de clientes afetados fosse menor comparado a alguns dos outros ataques Magecart, o timing foi particularmente impactante, pois ocorreu durante um período significativo de vendas, exatamente quando compradores estavam lotando o site em busca de ofertas.

Regal Cinemas

O ataque Magecart à Regal Cinemas em 2022 trouxe o foco de volta ao setor de entretenimento, que, até então, não era comumente associado a tais violações. Atacantes miraram a plataforma de venda de ingressos online da Regal, incorporando scripts maliciosos para capturar informações de pagamento de clientes comprando ingressos. Bastante similar ao ataque da Ticketmaster.

NutriBullet

A NutriBullet, famosa por seus liquidificadores e utensílios de cozinha, se viu na lista de vítimas Magecart no início de 2021. Hackers injetaram JavaScript malicioso na página de checkout do site da NutriBullet, fazendo skimming de detalhes de cartões de crédito de clientes por várias semanas.

Chinavasion

A Chinavasion, uma conhecida plataforma de e-commerce chinesa especializada em eletrônicos, foi atingida por um ataque Magecart em 2023. Este incidente também teve como alvo as páginas de checkout para capturar detalhes de pagamento de clientes internacionais. Embora a violação não tenha sido tão grande quanto algumas das outras nesta lista, foi significativa devido à ampla base de clientes da Chinavasion abrangendo múltiplos países.

Dick's Sporting Goods

Em 2023, a Dick's Sporting Goods se viu entre a lista de vítimas Magecart quando atacantes conseguiram injetar scripts maliciosos em sua página de pagamento. A violação impactou um grande número de clientes, mas a escala e as consequências financeiras foram relativamente menos severas comparadas a alguns dos ataques mais extensos nesta lista.

Marriott Hotels

A Marriott Hotels adicionou outro capítulo à sua história contconturbada com violações de dados em 2023 quando seu sistema de reservas online foi alvo de atacantes Magecart. Os hackers injetaram scripts de skimming para roubar informações de cartões de crédito de clientes reservando quartos online.

Há um pouco de aumento na preocupação com esses tipos de ataques mirando sites da indústria hoteleira e de lazer. O tempo dirá se mais ocorrências de ataques acontecem neste espaço.

Aqui falamos sobre ataques do lado do cliente especificamente na indústria hoteleira.

Carteiras Digitais e Exchanges de Criptomoedas

De 2022 a 2024, atacantes Magecart voltaram seu foco para carteiras digitais e exchanges de criptomoedas, marcando uma mudança em seus alvos típicos. Ao injetar scripts maliciosos em carteiras web e plataformas de exchange, eles conseguiram desviar não apenas detalhes de cartões de crédito, mas também ativos digitais como criptomoedas.

Durante nossa fase beta, múltiplas empresas de criptomoedas e exchanges nos contataram para trabalhar juntos em uma versão inicial de um escopo de produto expandido para proteger seus sites. É uma preocupação real nesta indústria.

Aqui está a história do ataque event-stream da Copay que também aconteceu no espaço cripto. Código malicioso executaria rotinas que procuravam e extraíam chaves privadas e detalhes de carteiras de contas mantendo quantidades substanciais de Bitcoin e Bitcoin Cash. Esses detalhes eram então transmitidos para um servidor remoto controlado pelos atacantes.

Algumas menções finais:

Soccer[.]com
Shopify
Olympus
Tupperware
Fujifilm
Boom! Mobile
Procter & Gamble
Smith & Wesson
Puma
Crucial (Micron)
Elekta

Como proteger seu site contra ataques Magecart

Assim como cobrimos na seção "O que aprendemos sobre Magecart até agora", JavaScript de terceiros está envolvido. Esses scripts são carregados do lado do cliente (ou seja, no navegador do usuário), não pelo servidor do site. E, eles são dinâmicos. Significando que podem mudar o que quiser, quando quiser, e até mesmo com base em parâmetros como o dispositivo do usuário, localização e mais.

Construímos o cside para proteger esses scripts contra qualquer coisa maliciosa. Nós os carregamos em um proxy antes que executem seu código no navegador do usuário, e os bloqueamos se necessário para proteger totalmente os visitantes do site. É claro que também alertamos o proprietário do site para que possam inspecionar e remover o código se necessário.

Você pode começar e proteger seu site gratuitamente em minutos. Existem outras ferramentas disponíveis, é claro, por favor visite nossa página de comparação para ver como nos comparamos à concorrência.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Building better security against client-side executed attacks, and making solutions more accessible to smaller businesses. Web security is not an enterprise only problem.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

O vazamento da British Airways em 2018 ainda é o mais citado. Os atacantes injetaram um skimmer na página de reservas e exfiltraram dados de cartão de cerca de 380.000 transações. A ICO chegou a propor uma multa recorde antes de reduzi-la.

O skimmer normalmente é carregado a partir de um script de terceiros antes confiável ou de um domínio sósia recém-registrado. As defesas de rede não enxergam o que roda dentro do navegador — exatamente onde os dados de cartão são capturados.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Agende uma demonstração

Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança

Melhores Soluções de Prevenção Contra Tomada de Conta Comparadas (2026)

Suítes antifraude, ferramentas de fingerprinting e MFA comparadas pelo que cobrem na cadeia de ataque de ATO. Encontre a combinação certa para o seu perfil de risco.

Como Impedir Agentes de IA de Criar Contas Falsas (Guia)

Agentes de IA criam contas falsas usando navegadores reais, IPs residenciais e identidades geradas. Veja os sinais de detecção para impedi-los.

Como Bloquear Bots de Scraping de Conteúdo Baseados em Agentes de IA (Guia)

Bots de scraping usam navegadores reais, IPs residenciais e extração com LLM para capturar seus preços e conteúdo. Veja como pará-los.

Banner escuro da cside mostrando um ataque de cadeia de fornecimento npm do tipo worm

O efeito bola de neve: como o Mini Shai-Hulud transforma npm numa rede de distribuição de worm

O Mini Shai-Hulud transformou pacotes npm num ciclo de roubo de credenciais. Veja como a vaga AntV se espalhou.

Porque os CAPTCHAs já não são uma defesa fiável contra bots

Os CAPTCHAs já não são uma defesa principal fiável contra bots. Veja porque falham e como aumentar o custo para atacantes.

Banner ilustrado do blog sobre sancoes a Funnull, lavagem de infraestrutura e risco de cadeia de suprimentos no navegador

Funnull sancionada: o que Polyfill[.]io revelou sobre lavagem de infraestrutura

As sanções contra a Funnull mostram que Polyfill fazia parte de um risco maior de lavagem de infraestrutura.

Ilustração do stack de segurança com inferência no dispositivo

A inferência no dispositivo está a chegar ao seu stack de segurança: para melhor e pior

A IA local pode proteger dados sensíveis e reforçar endpoints, mas cria novos riscos de prompt injection, telemetria e navegador.

Capa escura do blog cside com pontos sobre ferramentas de deteção de agentes de IA

4 ferramentas para detetar agentes de IA no seu site (prevenção de fraude)

Comparação de cside, HUMAN Security, DataDome e Cloudflare para deteção de agentes de IA. Veja como cada ferramenta lida com prevenção de fraude, preços e implementação.

Capa escura do blog cside com pontos sobre bloquear bots de teste de cartão com IA

Bots de teste de cartão baseados em agentes de IA | Como bloqueá-los

Agentes de teste de cartão com IA usam browsers reais para validar credenciais roubadas em escala. Saiba como detetá-los e bloqueá-los antes do pagamento.

Capa escura do blog cside com pontos sobre usos e bloqueio de navegadores stealth

O Que São Navegadores Stealth (ou 'Anti-Detect') e Quando Bloqueá-los

Navegadores stealth contornam a deteção de bots. Navegadores anti-detect falsificam impressões digitais. Conheça os sinais que revelam ambos, mesmo quando parecem humanos.