Identificado novo esquema de furto de dados de cartões que contorna segurança

O recentemente descoberto script Pipka pode apagar-se após a execução, tornando a detecção muito difícil

O recentemente descoberto script Pipka pode apagar-se a si próprio após a execução, tornando-se muito difícil a detecção.

Investigadores detectaram sítios de comércio electrónico comprometidos com um novo esquema de cartões de pagamento baseado em JavaScript que tira partido de técnicas anti forenses, incluindo a capacidade de se removerem a si próprios da página web após a execução do código.

O malware é chamado Pipka. É um script malicioso descoberto por investigadores da equipa de combate à fraude de pagamentos (PFD) da Visa num site de um merchant norte-americano que já tinha sido anteriormente infectado por um outro skimmer, chamado Inter. Investigações subsequentes descobriram outros 16 merchants online infectados com o Pipka.

A nova ameaça

A nova tipologia de malware é chamada web skimming e corresponde ao furto de detalhes de cartões de pagamento em sites de comércio electrónico, através de scripts maliciosos aí injectados. Os scripts são tipicamente injectados nas páginas de checkout onde recolhem informação sobre os cartões que é introduzida pelos compradores nos formulários online.

Alguns exploram vulnerabilidades conhecidas. Outras comprometem scripts legítimos de terceiros que é carregado em websites, como aqueles de serviços de analítica web. Há ainda evidências de que alguns grupos estão a comprometer routers utilizados para configurar hotspots Wi-Fi em aeroportos e outros espaços públicos para injectar o código em tráfego legítimo.

Os investigadores descobriram provas que ligam alguns dos grupos Magecart a grupos de cibercrime sofisticados como o Cobalt e o FIN6 que têm, historicamente, tido como alvos as infra-estruturas de bancos e retalhistas. Isto sugere que o web skimming é suficientemente lucrativo para se encontrar no radar de grupos criminosos já estabelecidos que já furtaram centenas de milhões de dólares de organizações em todo o mundo.

É por isso, sem surpresa que outros web skimmers, como o Inter e agora o Pipka, tenham começado a aparecer para concorrer com o Magecart. Alguns já começaram a ser vendidos como commodities em mercados ilegais. Com uma grande variedade de métodos para comprometer websites, os investigadores esperam que os ataques de skimming continuem.

O que é diferente no Pipka?

Segundo os analistas PFD da Visa, o Pipka é personalizável. Os atacantes podem configurar de que tipo de campos de formulários pretendem roubar os dados. Os dados furtados são armazenados num cookie cifrado e são posteriormente exportados para um servidor command and control.

O skimmer pode afectar páginas de checkout com dois passos através de campos configuráveis tanto de dados de facturação como de contas de pagamento. A sua funcionalidade mais interessante é, no entanto, a sua capacidade de se apagar da página depois de uma execução bem sucedida.

“Quando o skimmer se executa, no carregamento do script, pode chamar a função start que chama a função clear e que configura o skimmer para procurar dados todos os segundos”, disseram os investigadores da Visa no seu alerta de segurança. “A função clear localiza a tag do script do skimmer na página e remove-a. Uma vez que tal acontece imediatamente depois do carregamento do script, é difícil para o analista ou administrador do site identificar o código quando visita o site”.

Este tipo de rotina de auto-remoção tem sido utilizado em malware de desktops, mas esta é a primeira vez que é observado em web skimmers, o que assinala “um desenvolvimento significativo” neste tipo de ataque, dizem os analistas da Visa.

Medidas de mitigação  

Os especialistas PFD da Visa aconselham os administradores a adicionar verificações recorrentes aos seus ambientes de comércio electrónico para comunicações com servidores command-and-control conhecidos utilizados por skimmers.

A Visa aconselha ainda a verificar regularmente os seus sites para vulnerabilidades ou malware, a verificar as redes de distribuição de conteúdos e os códigos de terceiros carregados por parceiros nos seus websites para assegurar que o software de carrinho de compras e outros serviços estão actualizados e corrigidos.

Os conselhos passam ainda pela utilização de palavras-passe de administração fortes e por limitar o acesso ao portal de administração. Podem ainda considerar a utilização de uma solução de checkout externa em que os consumidores introduzem os seus detalhes de pagamento noutra página e não no site do merchant.  

Lucian Constantin, CSO




Deixe um comentário

O seu email não será publicado