Os cibercriminosos parecem estar trabalhando em uma nova maneira de roubar dados de cartões de pagamento. De acordo com pesquisadores de segurança da IBM, um grupo de hackers está actualmente a desenvolver scripts maliciosos para usar contra grau comercial Camada 7 (L7) routers.
Isso mudaria totalmente os métodos vistos em ataques de skimming, como Magecart, pois até agora o código malicioso usado por hackers era entregue no nível do site por meio de arquivos JavaScript ou PHP. Alterar a superfície de ataque pode ser considerada uma evolução nos ataques movidos a Magecart.
Em primeiro lugar, vamos ver o que exatamente uma camada 7 roteador é. É um tipo de comercial, roteador resistente típico para grandes redes, os do governo incluídos. A diferença para qualquer outro roteador é que uma camada 7 dispositivo é capaz de manipular o tráfego no nível do aplicativo, também conhecido como 7º nível, do modelo de rede OSI. Em outras palavras, o roteador pode responder ao tráfego não apenas de acordo com o endereço IP, mas também cookies, nomes de domínio, tipos de navegadores, etc.
assim, o que os pesquisadores da IBM descobriram em suas análises?
A equipe identificou atividades maliciosas que atribuíram ao Magecart 5 grupo cibercriminoso. A pesquisa mostra que os hackers Magecart estão “provavelmente testando código malicioso projetado para injeção em arquivos JavaScript benignos carregados por camada de nível comercial 7 routers, roteadores que são normalmente usados por aeroportos, cassinos, hotéis e resorts ”. O cenário de ataque analisado revela que o ataque contra este tipo de roteadores pode permitir a injeção de anúncios maliciosos, bem como o acesso a outras partes da rede comprometida.
Como aconteceria um ataque contra roteadores L7?
Esses ataques são baseados na ideia de que os invasores aproveitariam roteadores L7 e abusariam de seus recursos de manipulação de tráfego para injetar scripts maliciosos nas sessões ativas do navegador dos usuários. De fato, A IBM diz que o grupo Magecart recentemente injetou código malicioso em um módulo deslizante móvel de código aberto:
MG5 normalmente usa JavaScript e provavelmente injetou seu código em uma biblioteca JS servida para desenvolvedores de aplicativos móveis. Esse código-fonte aberto é fornecido gratuitamente, Ferramenta licenciada pelo MIT desenvolvida para fornecer recursos de deslizamento em dispositivos móveis. Ao infectar esse código em sua fonte, MG5 pode infectar e comprometer todos os aplicativos que incorporam esse módulo em seu código e roubar dados de usuários que eventualmente baixarem os aplicativos bloqueados.
Além disso, os scripts que os pesquisadores conseguiram pareciam ter sido criados especificamente para extrair detalhes de cartões de pagamento de lojas online, e fazer upload das informações coletadas para um servidor web remoto. É curioso notar que os scripts foram descobertos porque os invasores carregaram os arquivos no VirusTotal, o que talvez tenha sido feito por motivos de teste para ver se o código seria detectado por mecanismos antivírus.
IBM descobriu 17 tais scripts, e os agrupou em 5 seções de acordo com seu propósito.
Pesquisadores analisaram as regras do YARA
Os pesquisadores analisaram as regras YARA (uma ferramenta que permite uma abordagem baseada em regras para criar descrições de famílias de malware com base em padrões textuais ou binários) e IOC (indicador de compromisso) associado ao grupo Magecart 5 atividade. Um alerta do VirusTotal de uma das regras Yara analisadas inicialmente identificou duas amostras de arquivo não ofuscadas que eram muito semelhantes às amostras compartilhadas em análises anteriores da atividade do Magecart.
Os especialistas notaram que essas duas amostras, que compartilhava uma convenção de nomenclatura comum, foram identificados como código de skimming JavaScript. A convenção de nomenclatura de arquivo recorrente, onde a string “test4” repetiu, também veio do mesmo membro de upload e local de origem em Murino, Rússia, diz o relatório.
O que os usuários podem fazer para evitar esses ataques?
Infelizmente, não há muito que um usuário possa fazer para contornar um ataque no nível do roteador. A única coisa certa é evitar compras em lojas online ou redes públicas suspeitas, como os de hotéis, shoppings, e aeroportos. Não obstante, comprar de casa também apresenta riscos.
Ainda há esperança, como pesquisadores de segurança têm recomendado algo chamado de cartão virtual. Esta abordagem significa que o usuário obtém um número de cartão de pagamento único usado para apenas uma transação.
O que é um cartão virtual? É um cartão de crédito pré-pago, que permite fazer compras online gratuitamente. O cartão virtual apresenta apenas um número e não possui uma operadora física. Com este cartão, os usuários podem contar com a segurança e proteção de seus pagamentos online.
Isso significa que mesmo que o número do cartão seja usado em um site perigoso, o número do cartão é inútil assim que a transação for concluída. A desvantagem do cartão virtual é que ainda não está amplamente disponível para usuários em todo o mundo, e pode não ser fácil conseguir um.
A mudança nas táticas dos hackers Magecart em suas operações de skimming não é tão surpreendente, já que os ataques no nível do roteador não são invisíveis. Roteadores inseguros foram alvo de muitos ataques, como phishing, cryptomining, e downloads de malware.
Em resumo, a segurança do roteador não deve ser esquecida. Para manter o cofre router, você deve verificar se o roteador tem uma chave ou não. Se você ainda não configurar qualquer chave para o roteador, então você pode fazê-lo usando a tela da configuração de segurança wireless que está presente no roteador. Ha outro dicas para segurança de roteador que você deve considerar a aplicação.