Malwares que roubam cartões de pagamento que segmentam 4 sites encontrados na plataforma em nuvem Heroku

7

Os skimmers de cartões de pagamento atingiram quatro comerciantes on-line com a ajuda de Heroku, um provedor de nuvem pertencente ao Salesforce, descobriu um pesquisador.

Heroku é uma plataforma em nuvem projetada para facilitar as coisas para os usuários criarem, manterem e fornecerem serviços online. Acontece que o serviço também facilita as coisas para os criminosos executarem skimmers direcionados a sites de terceiros. Na quarta-feira, Jérôme Segura, diretor de inteligência de ameaças do provedor de segurança Malwarebytes, disse que encontrou uma erupção de skimmers hospedados no Heroku. Os hackers por trás do esquema não apenas usaram o serviço para hospedar sua infraestrutura de escumadeira e entregá-la em sites segmentados. Eles também usaram o Heroku para armazenar dados roubados de cartões de crédito. Os administradores do Heroku suspenderam as contas e removeram os skimmers dentro de uma hora após serem notificados, disse Segura à Ars.

Esta não é a primeira vez que serviços em nuvem foram abusados ​​por skimmers de cartões de pagamento. Em abril, Malwarebytes documentou abuso semelhante no Github. Dois meses depois, o provedor de segurança skimmers relatados hospedados em buckets do Amazon S3. Abusar de um provedor de nuvem faz sentido do ponto de vista de um criminoso. Geralmente, é gratuito, evita o aborrecimento de registrar nomes de domínio semelhantes e oferece disponibilidade e largura de banda de primeira linha.

"Nós provavelmente continuaremos observando skimmers abusando de mais serviços em nuvem, pois eles são uma mercadoria barata (mesmo gratuita) que eles podem descartar ao terminar de usá-lo", escreveu Segura no post de quarta-feira.

Em um e-mail, a Segura documentou quatro contas gratuitas Heroku que hospedavam scripts direcionados a quatro comerciantes terceirizados. Eles eram:

  • stark-gorge-44782.herokuapp (.) com usado no site de compras correcttoes (.) com
  • ancient-savannah-86049 (.) herokuapp (.) com / configration.js usado contra panafoto (.) com
  • pure-peak-91770 (.) herokuapp (.) com / intregration.js foi usado contra alashancashmere (.) com
  • O aquário-scrubland-51318 (.) herokuapp (.) com / configuration.js foi usado contra amapur.) de

Além de configurar as contas Heroku e implantar o código de escumadeira e os sistemas de coleta de dados, o esquema exigia comprometer os sites dos comerciantes visados ​​por meios atualmente desconhecidos (embora alguns sites estivessem executando aplicativos da Web sem patch). Os atacantes injetaram uma única linha de código nos sites comprometidos. O JavaScript injetado, hospedado no Heroku, monitoraria a página atual da string codificada em Base64 "Y2hlY2tvdXQ =" – que se traduz em "checkout".

Quando a string foi detectada, o JavaScript malicioso carregou um iframe que roçava os dados do cartão de pagamento e o enviava, codificado no formato Base64, para a conta Heroku. O skimmer induzido por iframe incluía uma sobreposição no formulário de pagamento legítimo que parecia idêntico ao real. Abaixo estão três capturas de tela que mostram o esquema em ação:

O mecanismo de exfiltração "src =" https://cdn.arstechnica.net/wp-content/uploads/2019/12/exfiltration-mechanism-640x487.png "width =" 640 "height =" 487 "srcset =" https: //cdn.arstechnica.net/wp-content/uploads/2019/12/exfiltration-mechanism.png 2x
Prolongar / O mecanismo de exfiltração
O iframe usado. "Src =" https://cdn.arstechnica.net/wp-content/uploads/2019/12/iframe-trick-640x378.png "width =" 640 "height =" 378 "srcset =" https : //cdn.arstechnica.net/wp-content/uploads/2019/12/iframe-trick.png 2x
Prolongar / O iframe usado.
A forma de pagamento falsa. "Src =" https://cdn.arstechnica.net/wp-content/uploads/2019/12/fake-payment-form.png "width =" 624 "height =" 762

A forma de pagamento falsa.

Segura disse que as pesquisas na Web sugerem que os skimmers estavam hospedados no Heroku por cerca de uma semana. Ele não foi o único a notá-los.

Não é fácil para o usuário final médio detectar skimmers como os que a Segura documentou. Após a extração dos dados do cartão, os usuários receberão uma mensagem de erro instruindo-os a recarregar a página, mas esses tipos de erros acontecem com frequência suficiente em sites legítimos para que eles não sejam um sinal óbvio de fraude. De qualquer forma, no momento em que a mensagem aparece, o cartão já foi comprometido. Usuários mais avançados que desejam saber se foram comprometidos podem obter logs ou caches da Web para os quatro links Heroku listados acima.

Fonte: Ars Technica