Pesquisadores de segurança cibernética lançaram luz sobre uma nova campanha de skimmer digital que usa técnicas de ofuscação Unicode para ocultar o editor chamado Skimmer Mongol.
“No início, o que mais se destacou foi o borrão do texto, que parecia estranho por causa de todos os caracteres brilhantes”, disseram os pesquisadores da Jscrambler na análise. “O uso intenso de caracteres Unicode, muitos dos quais são invisíveis, torna o código mais difícil de ser lido pelos humanos.”
O script, em sua essência, foi descoberto usando a capacidade do JavaScript de usar quaisquer caracteres Unicode em identificadores para ocultar operações maliciosas.
O objetivo final do malware é roubar dados confidenciais inseridos em caixas de comércio eletrônico ou páginas de administração, incluindo informações financeiras, que são então transferidas para um servidor controlado pelo invasor.
Um skimmer, muitas vezes visto na forma de um script embutido em sites comprometidos, baixa a carga útil real de um servidor externo e tenta escapar dos esforços de análise e depuração, desativando certas funções quando as ferramentas de desenvolvedor do navegador da web estão ativadas.
“A editora utiliza técnicas bem conhecidas para garantir a compatibilidade entre diferentes navegadores, usando métodos modernos e tradicionais de tratamento de eventos”, disse Pedro Fortuna da Jscrambler. “Isso garante que ele possa atingir uma ampla gama de usuários, independentemente da versão do navegador.”
A empresa de segurança e conformidade do lado do cliente disse que também viu o que descreveu como uma variante “rara” do carregador que carrega texto skimmer apenas nos casos em que eventos de interação do usuário, como rolagem, movimento do mouse e touchstart, são detectados.
Este processo, acrescentou ele, pode servir tanto como uma medida anti-bot eficaz quanto como uma forma de garantir que o carregamento do skimmer não cause gargalos de desempenho.
Diz-se também que um dos lugares mais vulneráveis do Magento para trazer um editor mongol é direcionado a um esquiador diferente, com dois grupos de trabalho obtendo ideias do código-fonte para colaborar e dividir os lucros.
“50/50 talvez?”, comentou um dos atores ameaçadores em 24 de setembro de 2024. Três dias depois, outro grupo respondeu: “Concordo 50/50, você pode adicionar seu código :)”
Então, em 30 de setembro, o primeiro ator ameaçador respondeu: “Tudo bem), como posso entrar em contato com você? Você tem conta de exploração? [sic]”, possivelmente referindo-se ao fórum Exploit de crimes cibernéticos.
“Os métodos de ofuscação disponíveis nesta editora podem parecer, aos olhos destreinados, um novo método de ofuscação, mas não é”, observa Fortuna. “Ele usou truques antigos para fazer com que parecesse misterioso, mas é fácil de reverter.”
