This post is also available in: Português
Bandeiras como a VISA veem o problema aumentar em frequência e intensidade.
Sempre que determinada esfera virtual apresenta crescimento, lá estão os cibercriminosos para tentar tirar vantagem. E os cartões de crédito não passaram despercebidos. Afinal, as compras feitas com cartões de crédito, débito e pré-pagos devem superar R$ 2,3 trilhões em 2021, de acordo com a Associação Brasileira das Empresas de Cartões de Crédito e Serviços (Abecs). Isso representa uma alta de 18% a 20% em relação ao ano passado.
Com tamanho volume, era de se esperar que os crackers entrassem em ação. A bandeira VISA, por exemplo, alerta que eles estão cada vez mais implantando web shells em servidores comprometidos para exfiltrar informações de cartão de crédito roubadas de clientes de lojas online.
Shells da Web são ferramentas que, nas mãos dos crackers, são implantadas para obter e/ou manter acesso a servidores, executar remotamente códigos ou comandos arbitrários, mover-se lateralmente dentro da rede de um alvo ou entregar cargas úteis maliciosas adicionais.
Ao longo do ano passado, a VISA observou uma tendência crescente de web shells sendo usados para injetar scripts baseados em JavaScript, conhecidos como skimmers de cartão de crédito, em lojas online invadidas em web skimming. Depois de implantados, os skimmers permitem que eles roubem o pagamento e as informações pessoais enviadas pelos clientes das lojas online comprometidas e os enviem aos servidores sob seu controle.
“Em 2020, o Visa Payment Fraud Disruption (PFD) identificou uma tendência em que muitos ataques de eSkimming usavam shells da web para estabelecer um comando e controle (C2) durante os ataques”, disse um comunicado da empresa. O PFD confirmou pelo menos 45 ataques de eSkimming em 2020 usando web shells, e os pesquisadores de segurança também notaram o aumento do uso de web shell em todo o cenário de ameaças à segurança da informação.
Em ação
Como o VISA PFD descobriu, os shells da web eram usados principalmente por agentes de ameaça Magecart para fazer backdoor em servidores de loja online comprometidos e configurar uma infraestrutura de comando e controle que lhes permitia exfiltrar as informações de cartão de crédito roubado.
Os invasores usaram vários métodos para violar os servidores das lojas online, incluindo vulnerabilidades em infraestrutura administrativa não segura, aplicativos / plug-ins de sites relacionados ao comércio eletrônico e plataformas de comércio eletrônico desatualizadas ou sem patch.
Em fevereiro, as descobertas da VISA foram confirmadas pela equipe de Proteção Avançada contra Ameaças do Microsoft Defender (ATP), que disse que o número de shells da web implantados em servidores comprometidos quase dobrou desde o ano passado.
Os pesquisadores de segurança da empresa descobriram uma média de 140 mil dessas ferramentas maliciosas em servidores hackeados todos os meses, entre agosto de 2020 e janeiro de 2021.
Em comparação, a Microsoft disse em um relatório de 2020 que detectou uma média de 77 mil shells da web a cada mês, com base em dados coletados de cerca de 46 mil dispositivos entre julho e dezembro de 2019.
A Agência de Segurança Nacional dos Estados Unidos (NSA) também alertou em um relatório conjunto emitido com o Australian Signals Directorate (ASD) em abril de 2020 sobre os agentes de ameaças escalando seus ataques a servidores vulneráveis de backdoor com a implantação de shells da web.
“O uso de shells da web para facilitar ataques de eSkimming provavelmente persistirá, especialmente porque muitas restrições ao comércio permanecem em vigor enquanto a pandemia continua”, complementa o comunicado da VISA. Ou seja, ainda que indiretamente, trata-se de mais um problema agravado pelo Coronavírus. Resta saber se o problema será mitigado quando a quarentena começar a ficar mais branda.
This post is also available in: Português
