This post is also available in: Português
É muito comum ver sites e blogs com ícones de redes sociais como atalhos para as suas contas oficiais. Trata-se de uma praticidade imprescindível para quem quer ter mais e mais acessos em suas mídias.
Contudo, esses botões agora vivem sob desconfiança. Cibercriminosos criaram um novo tipo de malware que se esconde dentro de imagens usadas nos ícones de compartilhamento de mídia social, para roubar informações de cartão de crédito inseridas em formulários de pagamento em lojas online.
Esse malware é conhecido como web skimmer, ou script Magecart, e foi detectado em lojas online em junho e setembro deste ano pela empresa de segurança holandesa Sanguine Security (SangSec).
Embora esse ataque em específico não seja amplamente utilizado, sua descoberta sugere que crackers que se dedicam ao Magecart estão constantemente evoluindo a maneira de atacar – o que pode rapidamente aumentar seu uso.
Mal oculto
Este tipo de script usa uma técnica conhecida como esteganografia, que oculta informações dentro de outro formato de arquivo – ou seja, texto dentro de imagens, imagens dentro de vídeos, etc.). Nesse contexto, a esteganografia é normalmente empregada como uma forma de passar código malicioso por verificadores de segurança, colocando cargas infectadas em arquivos aparentemente inocentes.
Nos últimos anos, o método mais comum de ataques de esteganografia é ocultar cargas maliciosas dentro de arquivos de imagem, geralmente PNG ou JPG. Assim, cibercriminosos adicionam o código malicioso dentro da imagem, que seria baixada em um host. Aí, seria extraída por outro componente da gangue e depois executada.
Assim, a esteganografia funciona porque a maioria dos skimmers da web está normalmente oculta no código JavaScript – e não dentro de arquivos de imagem. No entanto, a técnica tem lentamente ganhado destaque entre as equipes de skimmers da web, com ataques esteganográficos anteriores usando logotipos de sites, imagens de produtos ou ícones para ocultar códigos maliciosos.
Imagem surpresa
Conforme o uso da esteganografia cresce, as empresas de segurança também começaram a considerar e analisar arquivos de imagem como um lugar onde poderiam encontrar irregularidades – ou conteúdos ocultos de skimmer na web.
Há, porém, um detalhe interessante nesses ataques recentes. O código malicioso não estava escondido em arquivos PNG ou JPG, mas em arquivos SVG, usado em imagens baseadas em vetor.
Imagens vetoriais carregam em si gráficos criados com a ajuda de coordenadas e funções matemáticas. São um formato baseado em texto, em vez de um formato binário – o que tornaria a detecção de cargas maliciosas ainda mais fácil do que em PNGs e JPGs.
No entanto, os pesquisadores da SangSec disseram que os criadores da ameaça surpreenderam ao projetar sua carga útil. “O payload malicioso assume a forma de um elemento HTML
Esta é a primeira vez que um código malicioso foi construído como uma imagem perfeitamente válida, quase sem vestígios de alterações. O resultado é que os scanners de segurança não podem mais encontrar malwares apenas testando sua validade de sintaxe.
A SangSec disse que encontrou gangues de malware testando essa técnica em junho, e em sites de comércio eletrônico em setembro, com a carga maliciosa escondida dentro de ícones de compartilhamento de mídia social para sites como Google, Facebook, Twitter, Instagram, YouTube e Pinterest.
Em lojas infectadas, quando os usuários acessavam a página de pagamento, um componente secundário – chamado de decodificador – lia o código malicioso oculto nos ícones de compartilhamento social e carregava um keylogger que registrava e filtrava os detalhes do cartão inseridos no formulário de pagamento. Resultado: dados sigilosos referentes ao cartão de crédito da vítima agora ficavam nas mãos dos cibercriminosos.
Combate difícil
Na realidade, os usuários finais têm muito poucas opções disponíveis quando se trata de evitar ataques de skimmer na web. O motivo é que esse tipo de código geralmente é invisível para muitos sistemas de proteção, e extremamente difícil de detectar – mesmo para profissionais.
Além disso, os usuários que compram em um site não têm como saber o quão seguro um site realmente é, e se os proprietários da loja virtual investem em segurança da maneira adequada.
Assim, a maneira mais simples de os compradores se protegerem de ataques de skimmer na web é usar cartões virtuais projetados para pagamentos únicos. Esses cartões são fornecidos atualmente por alguns bancos, ou aplicativos de pagamento, e são atualmente a melhor maneira de lidar com o skimming baseado na web. Afinal, mesmo que os invasores consigam registrar os detalhes da transação, os dados do cartão são inúteis, pois foram gerados para apenas uma transação. Ou seja, a melhor defesa pode ser algo que torne o ataque obsoleto, e não necessariamente impedindo a invasão. É a criatividade combatendo a criatividade.
This post is also available in: Português
