- Os sites da OpenCart foram injetados silenciosamente com malware que imita scripts de rastreamento confiáveis
- O script se esconde em tags de análise e trocam silenciosamente os formulários de pagamento reais para os falsos
- O JavaScript ofuscado permitiu que os atacantes passassem pela detecção e lançassem o roubo de credenciais em tempo real
Um novo ataque ao estilo de magecart levantou preocupações em todo o cenário de segurança cibernética, visando sites de comércio eletrônico que dependem do OpencerCart CMS.
Os atacantes injetaram JavaScript malicioso em páginas de destino, escondendo inteligentemente sua carga útil entre análises legítimas e tags de marketing, como Facebook Pixel, Meta Pixel e Google Tag Manager.
Exepers de c/lateraluma empresa de segurança cibernética que monitora scripts de terceiros e ativos da Web para detectar e impedir ataques do lado do cliente, diz que o código injetado se assemelha a um trecho de tag padrão, mas seu comportamento conta uma história diferente.
Técnicas de ofuscação e injeção de script
Essa campanha específica disfarça sua intenção maliciosa, codificando URLs de carga útil usando Base64 e roteando o tráfego através de domínios suspeitos como/tagcart.shop/cdn/analytics.min.js, dificultando a detecção em trânsito.
No começo, parece ser um script padrão do Google Analytics ou Tag Manager, mas a inspeção mais detalhada revela o contrário.
Quando decodificado e executado, o script cria dinamicamente um novo elemento, insere -o antes dos scripts existentes e inicia silenciosamente código adicional.
O malware executa o código fortemente ofuscado, usando técnicas como referências hexadecimais, recombinação de matriz e função avaliativa para decodificação dinâmica.
A principal função desse script é injetar um formulário de cartão de crédito falso durante a finalização da compra, com estilo para parecer legítimo.
Uma vez renderizado, o formulário captura a entrada no número do cartão de crédito, data de validade e CVC. Os ouvintes estão anexados a eventos Blur, KeyDown e Colar, garantindo que a entrada do usuário seja capturada em todas as etapas.
É importante ressaltar que o ataque não depende da raspagem da área de transferência, e os usuários são forçados a inserir detalhes manualmente do cartão.
Depois disso, os dados são imediatamente exfiltrados por meio de solicitações de postagem para dois domínios de comando e controle (C2): //ultracart(.)shop/g.php e //hxjet.pics/g.php.
Em uma reviravolta adicional, o formulário de pagamento original está oculto quando as informações do cartão são enviadas – uma segunda página solicita os usuários a inserir mais detalhes da transação bancária, agravando a ameaça.
O que se destaca neste caso é o atraso extraordinariamente longo no uso dos dados roubados do cartão, que levou vários meses em vez dos alguns dias típicos.
O relatório revela que um cartão foi usado em 18 de junho em uma transação de pagamento por telefone dos EUA, enquanto outro foi cobrado de € 47,80 por um fornecedor não identificado.
Essa violação mostra um risco crescente no comércio eletrônico baseado em SaaS, onde plataformas CMS como o OpeNCART se tornam alvos suaves para malware avançado.
Portanto, há uma necessidade de medidas de segurança mais fortes além dos firewalls básicos.
Plataformas automatizadas como C/Lateral Reivindicarem detectar ameaças, detectando JavaScript ofuscado, injeções de forma não autorizadas e comportamento anômalo de roteiro.
À medida que os atacantes evoluem, mesmo pequenas implantações do CMS devem permanecer vigilantes, e o monitoramento em tempo real e a inteligência de ameaças não devem mais ser opcionais para os fornecedores de comércio eletrônico que buscam garantir a confiança de seus clientes.
Fique conectado