Os pesquisadores relataram que os hackers estão explorando o serviço Analytics do Google para furtar furtivamente informações de cartão de crédito de sites de comércio eletrônico infectados.
De acordo com vários relatórios independentes do PerimeterX , Kasperskye Sansec, os agentes de ameaças agora injetam código de roubo de dados nos sites comprometidos em combinação com o código de rastreamento gerado pelo Google Analytics para sua própria conta, permitindo que eles exfiltrem informações de pagamento inseridas pelos usuários, mesmo em condições em que as políticas de segurança de conteúdo são aplicadas para segurança máxima na web.
“Os invasores injetaram código malicioso em sites, que coletaram todos os dados inseridos pelos usuários e os enviaram via Analytics”, disse a Kaspersky em um relatório publicado ontem. “Como resultado, os invasores podem acessar os dados roubados em sua conta do Google Analytics.”
A empresa de segurança cibernética disse ter encontrado cerca de duas dezenas de sites infectados na Europa e nas Américas do Norte e do Sul especializados na venda de equipamentos digitais, cosméticos, produtos alimentícios e peças de reposição.
Contornando a Política de Segurança de Conteúdo
O ataque depende da premissa de que os sites de comércio eletrônico que usam o serviço de análise da web do Google para rastrear visitantes colocaram os domínios associados na lista de permissões em sua política de segurança de conteúdo (CSP).
CSP é uma medida de segurança adicional que ajuda a detectar e mitigar ameaças provenientes de vulnerabilidades de cross-site scripting e outras formas de ataques de injeção de código, incluindo aqueles adotados por vários grupos Magecart .
O recurso de segurança permite que os webmasters definam um conjunto de domínios com os quais o navegador da web deve ter permissão para interagir para uma URL específica, evitando assim a execução de código não confiável.
A fonte do problema é que o sistema de regras CSP não é granular o suficiente”, disse o vice-presidente de pesquisa da PerimeterX, Amir Shaked. “Reconhecer e interromper a solicitação maliciosa de JavaScript acima requer soluções de visibilidade avançadas que podem detectar o acesso e exfiltração de dados confidenciais do usuário (neste caso, o endereço de e-mail e a senha do usuário).”
Para colher dados usando essa técnica, tudo o que é necessário é um pequeno pedaço de código JavaScript que transmita os detalhes coletados, como credenciais e informações de pagamento, por meio de um evento e outros parâmetros que o Google Analytics usa para identificar com exclusividade as diferentes ações realizadas em um site.
“Os administradores escrevem * .google-analytics.com no cabeçalho Content-Security-Policy (usado para listar recursos dos quais o código de terceiros pode ser baixado), permitindo que o serviço colete dados. Além disso, o ataque pode ser implementado sem baixando código de fontes externas “, observou a Kaspersky
Para tornar os ataques mais secretos, os invasores também verificam se o modo de desenvolvedor – um recurso frequentemente usado para detectar solicitações de rede e erros de segurança, entre outras coisas – está habilitado no navegador do visitante, e procedem apenas se o resultado da verificação for negativo.
Uma campanha “novela” desde março
Em um relatório separado divulgado ontem, a Sansec, com sede na Holanda, que rastreia ataques de skimming digital, descobriu uma campanha semelhante desde 17 de março que entregou o código malicioso em várias lojas usando um código JavaScript hospedado no Firebase do Google.
Para ofuscação, o ator por trás da operação criou um iframe temporário para carregar uma conta do Google Analytics controlada por um invasor. Os dados do cartão de crédito inseridos nos formulários de pagamento são então criptografados e enviados para o console de análise de onde são recuperados usando a chave de criptografia usada anteriormente.
Dado o amplo uso do Google Analytics nesses ataques, contramedidas como o CSP não funcionarão se os invasores tirarem proveito de um domínio já permitido para sequestrar informações confidenciais.
“Uma possível solução viria de URLs adaptáveis, adicionando o ID como parte do URL ou subdomínio para permitir que os administradores definam regras CSP que restringem a exfiltração de dados para outras contas”, concluiu Shaked.
“Uma direção futura mais granular para fortalecer a direção do CSP a ser considerada como parte do padrão CSP é a aplicação do proxy XHR . Isso criará essencialmente um WAF do lado do cliente que pode impor uma política sobre onde campos de dados específicos podem ser transmitidos . ”
Infelizmente, como cliente, não há muito que você possa fazer para se proteger de ataques de roubo de formulários. Ativar o modo de desenvolvedor em navegadores pode ajudar ao fazer compras online.
- Candidatura de Sérgio Ribeiro (PT) é Impugnada: Entenda o CasoNa tarde desta sexta-feira, uma decisão judicial de primeira instância impugnou a candidatura de Sérgio Ribeiro da Silva, do Partido dos Trabalhadores (PT), para o pleito municipal. Na manhã deste sábado, Sérgio Ribeiro utilizou suas redes sociais para se pronunciar sobre o ocorrido, descrevendo a decisão como “preliminar” e afirmando que irá recorrer. “Essa estratégia… Leia mais: Candidatura de Sérgio Ribeiro (PT) é Impugnada: Entenda o Caso
- Sérgio Ribeiro: Candidato a Prefeito de Carapicuíba nas Eleições de 2024 | CNC EntrevistaNo dia 03/09, Sérgio Ribeiro, candidato do PT à prefeitura de Carapicuíba, participou da série CNC Entrevista – Eleições 2024, promovida pelo Grupo CNC em parceria com a TV Osasco. Durante a entrevista, Ribeiro, que já foi prefeito por dois mandatos, apresentou suas propostas para recuperar o que foi perdido na cidade, manter o que… Leia mais: Sérgio Ribeiro: Candidato a Prefeito de Carapicuíba nas Eleições de 2024 | CNC Entrevista
- Prof. Lucena: Candidato a Prefeito de Carapicuíba nas Eleições de 2024 | CNC EntrevistaNo dia 29/08, o Professor Lucena, candidato a prefeito de Carapicuíba pelo PSOL, participou da série CNC Entrevista – Eleições 2024, uma iniciativa do Grupo CNC em parceria com a TV Osasco. Durante a entrevista, Lucena criticou a atual gestão por não concluir obras importantes e por falhar em investimentos essenciais nas áreas de cultura… Leia mais: Prof. Lucena: Candidato a Prefeito de Carapicuíba nas Eleições de 2024 | CNC Entrevista
Descubra mais sobre Portal Carapicuíba
Assine para receber nossas notícias mais recentes por e-mail.