Magecart

Pesquisadores em cibersegurança identificaram uma campanha significativa de skimming na web, ativa desde janeiro de 2022, que visa grandes redes de pagamento como American Express, Mastercard e UnionPay. Esses ataques, classificados como Magecart, envolvem a injeção de código JavaScript malicioso em sites de e-commerce e portais de pagamento, permitindo que criminosos capturem informações de cartões de crédito e dados pessoais dos usuários durante o processo de checkout.

O relatório da Silent Push revela que a campanha foi descoberta após a análise de um domínio suspeito associado a um provedor de hospedagem sancionado. O domínio, cdn-cookie[.]com, hospeda códigos JavaScript ofuscados que facilitam o skimming. O ataque é projetado para evitar a detecção, verificando a presença de elementos específicos na estrutura do site e manipulando a interface do usuário para apresentar formulários de pagamento falsos.

À medida que 2025 chega ao fim, os profissionais de segurança enfrentam um cenário alarmante: as estratégias tradicionais de segurança na web tornaram-se obsoletas. Este ano, cinco ameaças principais redefiniram a segurança digital. A primeira, o ‘vibe coding’, que utiliza inteligência artificial para gerar código, trouxe à tona vulnerabilidades significativas, com 45% do código gerado apresentando falhas exploráveis. Em seguida, uma campanha de injeção de JavaScript comprometeu 150 mil sites, demonstrando a vulnerabilidade generalizada do uso de JavaScript no lado do cliente. Os ataques de Magecart, que aumentaram 103%, mostraram a sofisticação dos skimmers que se disfarçam como scripts legítimos para roubar dados de pagamento. Além disso, os ataques à cadeia de suprimentos de IA cresceram 156%, com malware polimórfico que se adapta para evitar detecções. Por fim, a validação da privacidade na web revelou que 70% dos principais sites dos EUA violam as preferências de cookies dos usuários. As lições aprendidas em 2025 exigem que as organizações adotem uma abordagem de segurança mais robusta e proativa, com foco em validação de comportamento e monitoramento contínuo.

Com a aproximação da temporada de compras de 2025, um alerta se destaca na cibersegurança: o uso de JavaScript não monitorado representa uma vulnerabilidade crítica que pode permitir que atacantes roubem dados de pagamento sem serem detectados por sistemas de firewall de aplicativos web (WAF) e detecção de intrusões. O artigo destaca que, durante a temporada de compras de 2024, houve um aumento alarmante de 690% em ataques, com incidentes notáveis como a violação do Polyfill.io, que afetou mais de 500 mil sites, e o ataque Magecart da Cisco, que visou consumidores durante as compras de fim de ano. A pesquisa revela que, embora as defesas do lado do servidor tenham sido fortalecidas, o ambiente do navegador, onde o código malicioso pode operar, permanece vulnerável. Para mitigar esses riscos, recomenda-se a implementação de políticas de segurança de conteúdo (CSP), integridade de sub-recurso (SRI) e monitoramento contínuo do lado do cliente. Com o aumento do tráfego de compras, é essencial que os varejistas online fechem essas lacunas de visibilidade e adotem medidas proativas para proteger os dados dos consumidores.

Pesquisadores de segurança descobriram uma sofisticada campanha do Magecart que utiliza JavaScript ofuscado para roubar dados de cartões de pagamento de sites de comércio eletrônico comprometidos. A infraestrutura maliciosa, centrada no domínio cc-analytics[.]com, tem coletado informações sensíveis de clientes por pelo menos um ano. O ataque começa com a injeção de tags de script maliciosas em plataformas de e-commerce vulneráveis, referenciando arquivos JavaScript externos controlados pelos atacantes. O código malicioso emprega técnicas avançadas de ofuscação, como codificação hexadecimal e manipulação de strings, para evitar a detecção por ferramentas de segurança. A análise do JavaScript revela um mecanismo de coleta de dados que monitora formulários de checkout e seleções de métodos de pagamento, capturando em tempo real informações como números de cartões de crédito e endereços de cobrança. A operação se estende por múltiplos domínios relacionados, demonstrando uma infraestrutura criminosa organizada e com capacidades técnicas significativas. Especialistas recomendam a implementação de políticas de segurança de conteúdo e a validação de referências de scripts externos para mitigar esses ataques.