BLOG

A bagunça do Magecart

Miniatura F5
F5
Publicado em 01 de julho de 2019

À medida que nos aproximamos do verão com churrascos, jogos de beisebol e diversão no quintal, não se surpreenda se você começar a se perguntar qual foi a principal causa das violações de segurança no varejo, tecnologia e manufatura no ano passado. De acordo com o F5 Labs, é o Magecart .

O que é Magecart? Magecart é na verdade um termo dado a um grupo de unidades de crimes cibernéticos. Pelo menos uma dúzia de grupos são responsáveis, e cada um tem sua especialidade. Por exemplo, o Grupo 5 está implicado no ataque à Ticketmaster em 2018. Mas esse tipo de ataque vem acontecendo desde 2014, começando pelo Grupo 1.

O grupo começou explorando servidores vulneráveis ou comprometendo páginas de carrinho de compras. Eles alterariam o conteúdo, o código e os scripts com seu próprio software malicioso para roubar dados pessoais e de cartão de crédito.

Eles avançaram a um ponto em que agora podem roubar informações de pagamento por meio de um ataque de injeção de código da web entregue por serviços de anúncios de terceiros. Os invasores comprometerão um serviço de publicidade e injetarão código malicioso. A biblioteca JavaScript comprometida é então carregada no site de comércio eletrônico que o serviço de anúncios veicula. Enquanto os clientes inserem as informações do cartão de crédito, o skimmer trabalha em segundo plano para roubar os dados. Uma vez que isso é capturado, você conhece a rotina, ela é armazenada em um servidor e comunicada de volta, vai para vendedores/compradores clandestinos, eles compram produtos ou refazem uma listra em branco, e você não tem ideia do que aconteceu.

Ticketmaster (como mencionado anteriormente), New Egg, Sotheby’s e British Airways foram todas vítimas. Na verdade, com a Ticketmaster, eles próprios não foram diretamente violados, mas seu fornecedor terceirizado foi comprometido. O módulo JavaScript personalizado feito para o Ticketmaster foi substituído pelo código do skimmer digital. Mas eles não foram os únicos. Centenas de sites foram comprometidos dessa forma.

Comprometer sistemas de terceiros é uma ótima maneira de obter acesso a um alvo. Muitas vezes, são empresas menores com menos camadas de segurança. E eles têm acesso direto ao alvo. Lembra daqueles dias em que os ataques ocorriam por meio de uma conexão de rede de backend que não era devidamente segmentada ou protegida com alguma autenticação? Mais ou menos a mesma coisa, só que agora são anúncios digitais. Deixe que outra pessoa faça a entrega para você.

A clonagem de cartões digitais é atraente para criminosos, pois há uma grande chance de sucesso e é relativamente fácil. Outros ataques exigem coisas como malware, comprometimento direto ou até mesmo engenharia social para serem bem-sucedidos. É preciso tempo, esforço e, às vezes, experiência. E a taxa de sucesso em comparação ao Magecart é menor. Por que não tentar algo fácil com alto lucro?

A outra razão pela qual é bem-sucedido é que é quase impossível para o cliente detectá-lo. Enquanto você está na agonia emocional de inserir animadamente suas informações de pagamento para frete grátis, o skimmer está pairando invisível sobre o campo para coletar seus dados. Tradicionalmente, os skimmers eram “acessórios” físicos para coisas como caixas eletrônicos, bombas de gasolina e quiosques de pagamento. Pode ser algo cobrindo o inserto propriamente dito ou uma membrana fina projetada para se misturar à máquina. Você pode evitar essas ameaças físicas observando atentamente onde você insere seu cartão ou passando o dedo pela fenda para sentir qualquer coisa fora do comum. No caso digital, ele é praticamente invisível. Não é de se admirar que os ataques de injeção permaneçam no topo do OWASP Top 10.

Os invasores estão sempre iterando em seu código para evitar detecção. Ofuscação, criptografia e até mesmo interrupção e desativação de outros softwares de clonagem de cartão que já possam estar em execução no site. Em um caso, o script também limpava constantemente as mensagens do console do depurador do navegador para impedir a detecção e a análise. O script do Grupo 12 chega ao ponto de verificar a URL em busca de palavras-chave como "faturamento", "finalização de compra" e "compra", de acordo com a TrendMicro. Eles até incluíram a localização, incluindo a palavra francesa para cesta, ‘panier’, e a palavra alemã para checkout, ‘kasse’. Ao detectar as sequências alvo, o script iniciará sua varredura e cada vítima receberá um número aleatório gerado para identificá-la. Assim que a vítima fecha ou atualiza o navegador, outro evento JavaScript é disparado, enviando os dados de pagamento capturados, a e-tag (número aleatório) e o domínio de comércio eletrônico para um servidor remoto.

Magecart é uma grande ameaça ativa que pode ser maior do que as violações de pontos de venda na Target ou Home Depot, de acordo com a RiskIQ . Embora os pesquisadores estejam se conscientizando desse risco, isso não significa que eles serão capazes de detectar todos os ataques. Os criminosos são espertos.

Como acontece com muitas ameaças à segurança, uma abordagem de defesa em camadas ou em profundidade é fundamental. Obviamente, corrigir todos os servidores e segmentar sistemas sensíveis é importante. Garantir que todas as extensões e sistemas de terceiros estejam atualizados também é importante. Também é importante garantir que o conteúdo e os arquivos entregues por meio de uma CDN (fonte externa) ou outros domínios não tenham sido alterados ou adulterados. E certamente, um WAF com assinaturas ou conjuntos de regras focados em vulnerabilidades conhecidas que estão sendo exploradas pelo Magecart pode ajudar.

Esses ataques estão sempre evoluindo, se tornando mais sofisticados e buscando novos alvos. E os ataques à cadeia de suprimentos dão aos criminosos acesso a milhares de sites. Tudo de uma vez.

Por fim, qualquer violação é uma boa lição para verificar regularmente os extratos de cartão de crédito, bancários e financeiros em busca de qualquer atividade incomum. Veja, denuncie.

Se você quiser uma análise mais aprofundada do Magecart e de outras vulnerabilidades de injeção, vá até o F5 Labs para ver o Application Protection Report 2019, Episódio 3: Ataques de injeção na Web ficam mais violentos .