Os pesquisadores de segurança veio através de uma campanha maliciosa que está usando bastante convincente, falso Google domínios aos visitantes truque site em confiar nas páginas de realizar transações on-line.
Mais especificamente, a campanha foi relatado por pesquisadores da Sucuri que foram contatados pelo proprietário de um site Magento. O proprietário do site “foi colocado na lista negra e estava recebendo avisos de“ site perigoso ”do McAfee SiteAdvisor”.
A investigação da Sucuri “revelou que o site havia sido infectado com um skimmer de cartão de crédito carregando JavaScript do domínio malicioso internacionalizado google-analytîcs[.]com (ou xn - google-analytcs-xpb[.]com em ASCII).
Como ocorreu a infecção do domínio?
Os hackers “selecionaram propositalmente o nome de domínio com a intenção de enganar vítimas inocentes”. O truque é que os usuários online vejam um nome confiável, como Google, e presumam que estão seguros para prosseguir, quando na verdade a verdade é que eles estão prestes a carregar um domínio malicioso.
Esse método complicado também é comum em ataques de phishing, onde é implantado para fazer as vítimas pensarem que uma página de phishing é realmente legítima, os pesquisadores explicam.
A investigação também revela que a captura de dados de entrada é semelhante a outros skimmers de cartão de crédito Magento. Em resumo, o mecanismo usa o JavaScript carregado para capturar quaisquer dados de entrada por meio de document.getElementsByTagName e entrada, ou por meio de nomes de elementos armazenados para capturar dados do menu suspenso.
Uma das partes interessantes desta campanha é que o código é projetado para mudar de tática dependendo do uso de ferramentas de desenvolvedor nos navegadores Chrome ou Firefox. Se as ferramentas de desenvolvedor estiverem disponíveis, o skimmer não tentará obter nenhuma informação.
O skimmer suporta muitos gateways de pagamento, e caso a condição acima mencionada seja atendida, a informação roubada é enviada para um servidor remoto, disfarçado como outro domínio do google – Google[.]ssl[.]lnfo[.]cc.
Para proteger seu site de comércio eletrônico, o conselho de especialistas para proprietários de sites Magento é instalar os patches de segurança mais recentes assim que estiverem disponíveis. Se você não consegue atualizar seu site, você pode aproveitar um firewall de aplicativo da web para corrigir virtualmente qualquer vulnerabilidade, Sucure acrescenta.