Em janeiro de 2022, a loja virtual da Segway sofreu um ataque à cadeia de fornecimento web — também conhecido como ataque Magecart. Nesse tipo de ataque, código JavaScript malicioso é inserido e carregado pelo lado do cliente, por meio dos chamados scripts de terceiros.
Muitas ferramentas comuns funcionam como scripts de terceiros, como ferramentas de analytics, captchas e muito mais. Mas esse caminho também pode ser explorado para fins maliciosos, como foi o caso aqui.
Neste ataque à Segway, a loja estava configurada no Magento. Os atacantes exploraram vulnerabilidades no próprio CMS ou em um dos plugins instalados no site da Segway. Após a invasão, eles adicionaram um código JavaScript que aparentava exibir o copyright do site, mas na verdade era usado para carregar um favicon externo.
Dentro desse arquivo de favicon, foi inserido um domínio malicioso: booctstrap[.]com. Como pode ser visto nesta imagem do Malwarebytes, que divulgou a notícia sobre esse ataque:
Esse domínio carregava o código JavaScript malicioso de terceiros, cujo objetivo era capturar os dados de cartão de crédito dos usuários.
Como visto mais recentemente no ataque ao Polyfill em 2024.
A forma errada de se proteger contra isso
Os feeds de ameaças ainda são a solução mais utilizada para resolver esse problema, mas argumentamos que não é a abordagem ideal. No fundo, eles não sabem o que não sabem. Os atacantes registram um novo domínio e, sem precisar reescrever nenhum código, o ataque volta a funcionar. Por dias, ou às vezes semanas, até ser identificado novamente e os feeds de ameaças atualizarem seus registros.
O cside foi desenvolvido para impedir esses ataques à cadeia de fornecimento web antes que eles aconteçam.
Ao colocar esses scripts de terceiros em um proxy e analisar o payload completo do código antes que ele seja carregado, identificamos códigos maliciosos como o deste exemplo. Nós o bloqueamos, impedindo que afete o usuário, e alertamos o proprietário do site sobre o possível ataque.
Além disso, salvamos o código dos scripts para que o proprietário do site possa consultá-lo após o incidente e resolver o problema de origem.
Pouca atenção é dada a esses ataques do lado do cliente. Se outras medidas de segurança falharem, como aconteceu no caso da Segway, esse ataque ainda poderia ter sido detectado. Ao monitorar exatamente o que acontece no navegador do usuário, a exfiltração de dados deveria ter sido identificada e impedida.
Regulamentação
Como visto neste caso, o e-commerce é frequentemente um alvo. E a regulamentação está avançando: o PCI DSS 4.0 agora exige o monitoramento de scripts de terceiros em páginas de pagamento (a partir de março de 2025). Embora apoiemos essa iniciativa, recomendamos que isso seja feito em todas as páginas do seu site. Em abril de 2024, explicamos em detalhes por que não fazer isso ainda coloca seu site em risco significativo.
Além de outros problemas explicados naquele post, agentes maliciosos poderiam explorar scripts comprometidos no seu site para sequestrar sessões de usuários, se passar por eles e realizar ações não autorizadas — potencialmente contornando a autenticação de dois fatores e, dessa forma, burlando também a proteção do seu portal de pagamento.
Você pode usar o cside para monitorar scripts em todas as páginas e estar em conformidade com essa parte do PCI DSS 4.0. E, com o cside, você pode proteger seu site contra esse tipo de ataque.
