A cside acabou de detectar um ataque client-side que está ativo há mais de 2 anos. O domínio guyacave[.]fr está servindo um script de skimmer de Informações de Identificação Pessoal (PII) em múltiplos sites desde agosto de 2022. Verifique seu site agora e remova imediatamente o script com esse domínio, caso ele seja encontrado.
Durante a análise de scripts maliciosos, encontramos um site infectado por um deles. Nesse site, podemos ver que o ataque está ativo desde agosto de 2022. Notificamos este e outros sites sobre o ataque.
Em pesquisas adicionais, encontramos uma publicação do Decoded Avast de novembro de 2022 onde o domínio guyacave[.]fr já era mencionado como malicioso.
Eles escrevem:
Os atacantes também exploraram outros sites legítimos, como sites que vendem roupas, calçados, joias, móveis e suprimentos médicos, para hospedar seu código de skimming. Especificamente, eles usaram guyacave[.]fr, servair[.]com e stripefaster[.]com. Os atacantes exfiltraram dados de pagamento via requisição POST para URLs como guyacave[.]fr/js/tiny_mce/themes/modern/themes.php e similares para os outros domínios. Em alguns casos, a requisição POST foi enviada para o próprio site de e-commerce infectado, indicando que o atacante tem acesso total aos sites comprometidos. Protegemos quase 17.000 usuários globalmente contra esse webskimmer.
A URL inline: _0x800b[140];var _0xb61ex27= new XMLHttpRequest();_0xb61ex27_0x800b[143];_0xb61ex27_0x800b[144] - dentro do script indica que ele usa uma requisição XML HTTP para enviar os dados privados de pagamento para um endpoint externo. Neste caso, sendo https://guyacave[.]fr/js/tiny_mce/themes/modern/themes.php.
O script possui funções para leitura e escrita de cookies. Provavelmente usado para roubar cookies de sessão e outras informações sensíveis armazenadas no navegador.
Também encontramos a função Math.random() para criar elementos dinâmicos. É isso que torna os scripts de terceiros perigosos e torna essencial protegê-los. Qualquer script de terceiros é inerentemente dinâmico e pode mudar com base em todo tipo de parâmetro. Essa função Math.random() ajuda a contornar métodos simples de detecção baseados em assinatura.
O mecanismo da cside é mais avançado e foi capaz de detectar e bloquear esse script malicioso em nossos testes.
Por fim, o script manipula a interface do site para ocultar determinados elementos. Isso por meio da simples função display:none, para exibir o formulário de pagamento falso no lugar do real.
Feeds de ameaças são a principal forma como as empresas se informam sobre domínios maliciosos vinculados em seus sites. Na cside, não acreditamos que essa seja a melhor solução para segurança client-side.
O 1º motivo pelo qual feeds de ameaças não funcionam
Até o momento, apenas 10 dos 96 fornecedores de segurança no VirusTotal sinalizaram esse domínio como malicioso. Feeds de ameaças têm seu propósito, mas são insuficientes para segurança client-side. Esse ataque mostra que mesmo após 2 anos, a maioria dos feeds ainda não o detectou. Na melhor das hipóteses, eles identificam e alertam depois do fato. Na pior, o ataque passa despercebido por anos.
Prevenção é o próximo passo
Mesmo que o domínio tivesse sido sinalizado antes e por mais feeds, os atacantes poderiam simplesmente buscar um novo domínio que atendesse às suas necessidades.
Os feeds de ameaças dependem da verificação da fonte — neste caso, o domínio — e não do payload do código. Isso torna a detecção praticamente impossível até que alguém o sinalize manualmente. Isso faz dos feeds de ameaças uma solução reativa, não preventiva.
Em nossos testes, a cside foi capaz de detectar e bloquear esse script e domínio maliciosos. Se esses sites, ou as plataformas sobre as quais foram construídos, tivessem a cside implementada, esse ataque teria sido identificado e interrompido imediatamente.
A cada sessão, carregamos scripts de terceiros em um proxy seguro que verifica o payload real do script, não apenas as fontes e domínios. Se detectarmos algo suspeito, nossos clientes são alertados e o script é bloqueado antes de carregar no navegador do visitante do site.
Você pode se cadastrar na cside e proteger seu site em minutos.
