Magecart

Avaliação da Reflectiz em Conformidade com PCI DSS

Um avaliador independente de PCI testou a plataforma Reflectiz em relação às novas regras do PCI DSS, revelando que a ferramenta pode apoiar efetivamente a conformidade. O artigo destaca a vulnerabilidade das páginas de checkout, que frequentemente carregam scripts de terceiros que podem ser comprometidos por atacantes, como demonstrado pelo grupo Magecart. O PCI DSS v4.0.1 introduziu requisitos que exigem um inventário de scripts de pagamento e a detecção de adulterações em tempo real. A Reflectiz se destaca por monitorar o comportamento dos scripts, não apenas suas assinaturas, e por ser implementada sem a necessidade de alterações de código. Além disso, fornece evidências prontas para auditoria. O artigo também menciona que, desde janeiro de 2025, comerciantes que utilizam redirecionamento completo para processadores podem não precisar cumprir certos requisitos, mas aqueles que incorporam iframes de pagamento devem demonstrar que não são suscetíveis a ataques de script. A análise completa está disponível em um white paper da Integrity360 Europe.

Campanha Magecart usa Stripe para roubo de dados de cartões de crédito

Uma nova campanha do grupo Magecart está explorando a infraestrutura da API do Stripe para hospedar um código malicioso que rouba dados de cartões de crédito durante o processo de checkout. Pesquisadores da empresa de segurança em e-commerce Sansec identificaram que a atividade maliciosa utiliza o Google Tag Manager (GTM) e os domínios do Stripe, que são geralmente confiáveis por lojas online. O código malicioso é carregado de um contêiner do GTM e executado em todas as páginas que o carregam, permitindo que o skimmer evite regras de segurança que normalmente bloqueariam tráfego desconhecido. O malware é projetado para capturar informações sensíveis, como números de cartões de crédito, datas de validade e códigos CVV, além de dados pessoais dos clientes. Os dados roubados são armazenados localmente e enviados para a conta do atacante no Stripe como registros de clientes falsos. Além disso, uma variante do ataque utiliza o Google Firestore para armazenar os dados, disfarçando-se como tráfego legítimo. Para se proteger, os consumidores são aconselhados a usar cartões virtuais de uso único com limites definidos.

Campanha de skimming na web afeta grandes redes de pagamento

Pesquisadores em cibersegurança identificaram uma campanha significativa de skimming na web, ativa desde janeiro de 2022, que visa grandes redes de pagamento como American Express, Mastercard e UnionPay. Esses ataques, classificados como Magecart, envolvem a injeção de código JavaScript malicioso em sites de e-commerce e portais de pagamento, permitindo que criminosos capturem informações de cartões de crédito e dados pessoais dos usuários durante o processo de checkout.

O relatório da Silent Push revela que a campanha foi descoberta após a análise de um domínio suspeito associado a um provedor de hospedagem sancionado. O domínio, cdn-cookie[.]com, hospeda códigos JavaScript ofuscados que facilitam o skimming. O ataque é projetado para evitar a detecção, verificando a presença de elementos específicos na estrutura do site e manipulando a interface do usuário para apresentar formulários de pagamento falsos.

A Nova Realidade da Segurança na Web em 2025

À medida que 2025 chega ao fim, os profissionais de segurança enfrentam um cenário alarmante: as estratégias tradicionais de segurança na web tornaram-se obsoletas. Este ano, cinco ameaças principais redefiniram a segurança digital. A primeira, o ‘vibe coding’, que utiliza inteligência artificial para gerar código, trouxe à tona vulnerabilidades significativas, com 45% do código gerado apresentando falhas exploráveis. Em seguida, uma campanha de injeção de JavaScript comprometeu 150 mil sites, demonstrando a vulnerabilidade generalizada do uso de JavaScript no lado do cliente. Os ataques de Magecart, que aumentaram 103%, mostraram a sofisticação dos skimmers que se disfarçam como scripts legítimos para roubar dados de pagamento. Além disso, os ataques à cadeia de suprimentos de IA cresceram 156%, com malware polimórfico que se adapta para evitar detecções. Por fim, a validação da privacidade na web revelou que 70% dos principais sites dos EUA violam as preferências de cookies dos usuários. As lições aprendidas em 2025 exigem que as organizações adotem uma abordagem de segurança mais robusta e proativa, com foco em validação de comportamento e monitoramento contínuo.

Atenção JavaScript não monitorado pode comprometer dados de pagamento

Com a aproximação da temporada de compras de 2025, um alerta se destaca na cibersegurança: o uso de JavaScript não monitorado representa uma vulnerabilidade crítica que pode permitir que atacantes roubem dados de pagamento sem serem detectados por sistemas de firewall de aplicativos web (WAF) e detecção de intrusões. O artigo destaca que, durante a temporada de compras de 2024, houve um aumento alarmante de 690% em ataques, com incidentes notáveis como a violação do Polyfill.io, que afetou mais de 500 mil sites, e o ataque Magecart da Cisco, que visou consumidores durante as compras de fim de ano. A pesquisa revela que, embora as defesas do lado do servidor tenham sido fortalecidas, o ambiente do navegador, onde o código malicioso pode operar, permanece vulnerável. Para mitigar esses riscos, recomenda-se a implementação de políticas de segurança de conteúdo (CSP), integridade de sub-recurso (SRI) e monitoramento contínuo do lado do cliente. Com o aumento do tráfego de compras, é essencial que os varejistas online fechem essas lacunas de visibilidade e adotem medidas proativas para proteger os dados dos consumidores.

Injeção de JavaScript Malicioso Impulsiona Novo Ataque de Skimming do Magecart

Pesquisadores de segurança descobriram uma sofisticada campanha do Magecart que utiliza JavaScript ofuscado para roubar dados de cartões de pagamento de sites de comércio eletrônico comprometidos. A infraestrutura maliciosa, centrada no domínio cc-analytics[.]com, tem coletado informações sensíveis de clientes por pelo menos um ano. O ataque começa com a injeção de tags de script maliciosas em plataformas de e-commerce vulneráveis, referenciando arquivos JavaScript externos controlados pelos atacantes. O código malicioso emprega técnicas avançadas de ofuscação, como codificação hexadecimal e manipulação de strings, para evitar a detecção por ferramentas de segurança. A análise do JavaScript revela um mecanismo de coleta de dados que monitora formulários de checkout e seleções de métodos de pagamento, capturando em tempo real informações como números de cartões de crédito e endereços de cobrança. A operação se estende por múltiplos domínios relacionados, demonstrando uma infraestrutura criminosa organizada e com capacidades técnicas significativas. Especialistas recomendam a implementação de políticas de segurança de conteúdo e a validação de referências de scripts externos para mitigar esses ataques.