Inter: um kit ‘low bar’ para ataques de skimmer de cartão de crédito da Magecart em sites de comércio eletrônico

Quando os ataques Magecart começaram a circular, o vetor de ataque – scripts instalados secretamente em sites para coletar dados de cartão de pagamento do cliente – foi considerado a assinatura de um grupo de hackers específico. 

No entanto, scripts de skimming de cartão de crédito foram agora adotados por vários ciberataques e a tendência evoluiu para classificar esses tipos de ataques sob um amplo guarda-chuva ‘Magecart’ envolvendo vários grupos , alvos e países. 

Vários anos atrás, domínios pertencentes a nomes de alto perfil, incluindo British Airways e Ticketmaster, foram comprometidos por meio de ataques Magecart, nos quais sites contendo vulnerabilidades foram explorados para fazer upload de código JavaScript nas páginas do portal de pagamento. 

À medida que os clientes faziam compras e inseriam seus detalhes, as informações do cartão de pagamento eram coletadas silenciosamente e transferidas para um servidor de comando e controle (C2), para posteriormente serem vendidas ou usadas para fazer compras fraudulentas.

Agora, os ataques do tipo Magecart são muito mais comuns e as técnicas usadas para implantar código de skimming de cartão estão em constante estado de evolução. 

O código JavaScript é hospedado diretamente em um site comprometido ou referenciado e hospedado em um servidor controlado pelo invasor. Malwarebytes já havia encontrado o código Magecart enterrado em metadados EXIF ​​de imagens e, em agosto, essas técnicas relacionadas a imagens evoluíram ainda mais para combinar a estrutura de coleta de informações Inter, arquivos .ICO e os chamados ataques ” homoglyph “.

As solicitações de imagem .ICO em sites agora podem ser alteradas para chamar imagens .ICO fraudulentas contendo código skimmer, hospedadas em domínios semelhantes a domínios legítimos, mas contendo pequenos erros ortográficos ou diferenças para evitar a detecção. 

O problema com os ataques do tipo Magecart é a barreira relativamente “baixa” de entrada definida pelo Inter para os cibercriminosos que buscam lucrar com nossos cartões, diz RiskIQ.

O kit Inter, que inclui sniffers, ferramentas de extração de dados, diferentes modos de injeção e scripts compatíveis com diversas variedades de CMS de comércio eletrônico, foi rastreado por pesquisadores de segurança cibernética por vários anos. Uma versão anterior do kit de ferramentas, conforme descrito pela Volexity em 2018 , foi nomeada JS Sniffer / SniFall e foi usada na plataforma de e-commerce Magento. 

Outras pesquisas do RiskIQ e do Flashpoint sugeriram que o Inter primeiro desembarcou em fóruns clandestinos em 2016 com um preço de US $ 5.000, mas agora, parece que as versões modernas do Inter são oferecidas por US $ 1.300 por licença . Isso agora foi reduzido para apenas US $ 1.000 e uma opção de divisão de receita de 30/70 para atrair ainda mais invasores. 

Em março, PerimeterX disse que os grupos relacionados ao Magecart cresceram de “poucos para algumas centenas”, provavelmente devido ao custo de licenciamento com desconto e à solução criminosa completa do Inter, que requer pouco conhecimento técnico para ser implantada. 

A Inter, diz PerimeterX, está a caminho de se tornar uma opção “Skimming-as-a-Service” em fóruns clandestinos. RiskIQ conduziu essa pesquisa e diz que mais de 1.500 sites atualmente estão infectados com o skimmer, com o kit se tornando “uma das soluções de skimming digital mais comuns e amplamente usadas atualmente em todo o mundo.”

“O kit Inter skimmer é um item importante neste mercado e vem pré-embalado e pronto para ser lido, de forma que até mesmo os cibercriminosos com pouca experiência técnica (mas com pouco dinheiro para gastar) possam usá-lo”, afirma a equipe.

RiskIQ diz que o ator por trás do kit, conhecido por pseudônimos como porter e Sochi, fez uma série de melhorias recentes, incluindo a opção de serviços adicionais de ofuscação; a capacidade de criar formulários de pagamento falsos usando nomes legítimos, como PayPal; e verificações automáticas de informações roubadas para remover a duplicação. 

O Inter agora também está conectado a uma variedade de outras campanhas cibercriminosas, incluindo implantação de ransomware, serviços DNS de fluxo rápido Darkcloud e SandiFlux – técnicas DNS usadas para manter botnets – e domínios provavelmente conectados a campanhas de phishing e spam. 

“Como o kit do Inter é licenciado para muitos atores diferentes, não podemos dizer se essas atividades estão definitivamente conectadas a Sochi”, acrescentaram os pesquisadores. “Ainda assim, sabemos que o kit Inter faz parte de uma rede cada vez maior de atividades maliciosas.”

Fonte: https://www.zdnet.com/article/inter-a-low-bar-kit-for-magecart-website-credit-card-skimmer-attacks