Os pesquisadores relataram que os hackers estão explorando o serviço Analytics do Google para furtar furtivamente informações de cartão de crédito de sites de comércio eletrônico infectados.
De acordo com vários relatórios independentes do PerimeterX , Kaspersky e Sansec , os agentes de ameaças agora injetam código de roubo de dados nos sites comprometidos em combinação com o código de rastreamento gerado pelo Google Analytics para sua própria conta, permitindo que eles exfiltrem informações de pagamento inseridas pelos usuários, mesmo em condições em que as políticas de segurança de conteúdo são aplicadas para segurança máxima na web.
“Os invasores injetaram código malicioso em sites, que coletaram todos os dados inseridos pelos usuários e os enviaram via Analytics”, disse a Kaspersky em um relatório publicado ontem. “Como resultado, os invasores podem acessar os dados roubados em sua conta do Google Analytics.”
A empresa de segurança cibernética disse ter encontrado cerca de duas dezenas de sites infectados na Europa e nas Américas do Norte e do Sul especializados na venda de equipamentos digitais, cosméticos, produtos alimentícios e peças de reposição.
Contornando a Política de Segurança de Conteúdo
O ataque depende da premissa de que os sites de comércio eletrônico que usam o serviço de análise da web do Google para rastrear visitantes colocaram os domínios associados na lista de permissões em sua política de segurança de conteúdo (CSP).
CSP é uma medida de segurança adicional que ajuda a detectar e mitigar ameaças provenientes de vulnerabilidades de cross-site scripting e outras formas de ataques de injeção de código, incluindo aqueles adotados por vários grupos Magecart .
O recurso de segurança permite que os webmasters definam um conjunto de domínios com os quais o navegador da web deve ter permissão para interagir para uma URL específica, evitando assim a execução de código não confiável.
A fonte do problema é que o sistema de regras CSP não é granular o suficiente”, disse o vice-presidente de pesquisa da PerimeterX, Amir Shaked. “Reconhecer e interromper a solicitação maliciosa de JavaScript acima requer soluções de visibilidade avançadas que podem detectar o acesso e exfiltração de dados confidenciais do usuário (neste caso, o endereço de e-mail e a senha do usuário).”
Para colher dados usando essa técnica, tudo o que é necessário é um pequeno pedaço de código JavaScript que transmita os detalhes coletados, como credenciais e informações de pagamento, por meio de um evento e outros parâmetros que o Google Analytics usa para identificar com exclusividade as diferentes ações realizadas em um site.
“Os administradores escrevem * .google-analytics.com no cabeçalho Content-Security-Policy (usado para listar recursos dos quais o código de terceiros pode ser baixado), permitindo que o serviço colete dados. Além disso, o ataque pode ser implementado sem baixando código de fontes externas “, observou a Kaspersky
Para tornar os ataques mais secretos, os invasores também verificam se o modo de desenvolvedor – um recurso frequentemente usado para detectar solicitações de rede e erros de segurança, entre outras coisas – está habilitado no navegador do visitante, e procedem apenas se o resultado da verificação for negativo.
Uma campanha “novela” desde março
Em um relatório separado divulgado ontem, a Sansec, com sede na Holanda, que rastreia ataques de skimming digital, descobriu uma campanha semelhante desde 17 de março que entregou o código malicioso em várias lojas usando um código JavaScript hospedado no Firebase do Google.
Para ofuscação, o ator por trás da operação criou um iframe temporário para carregar uma conta do Google Analytics controlada por um invasor. Os dados do cartão de crédito inseridos nos formulários de pagamento são então criptografados e enviados para o console de análise de onde são recuperados usando a chave de criptografia usada anteriormente.
Dado o amplo uso do Google Analytics nesses ataques, contramedidas como o CSP não funcionarão se os invasores tirarem proveito de um domínio já permitido para sequestrar informações confidenciais.
“Uma possível solução viria de URLs adaptáveis, adicionando o ID como parte do URL ou subdomínio para permitir que os administradores definam regras CSP que restringem a exfiltração de dados para outras contas”, concluiu Shaked.
“Uma direção futura mais granular para fortalecer a direção do CSP a ser considerada como parte do padrão CSP é a aplicação do proxy XHR . Isso criará essencialmente um WAF do lado do cliente que pode impor uma política sobre onde campos de dados específicos podem ser transmitidos . ”
Infelizmente, como cliente, não há muito que você possa fazer para se proteger de ataques de roubo de formulários. Ativar o modo de desenvolvedor em navegadores pode ajudar ao fazer compras online.