Os pesquisadores relataram que os hackers estão explorando o serviço Analytics do Google para furtar furtivamente informações de cartão de crédito de sites de comércio eletrônico infectados.
De acordo com vários relatórios independentes do PerimeterX , Kasperskye Sansec, os agentes de ameaças agora injetam código de roubo de dados nos sites comprometidos em combinação com o código de rastreamento gerado pelo Google Analytics para sua própria conta, permitindo que eles exfiltrem informações de pagamento inseridas pelos usuários, mesmo em condições em que as políticas de segurança de conteúdo são aplicadas para segurança máxima na web.
“Os invasores injetaram código malicioso em sites, que coletaram todos os dados inseridos pelos usuários e os enviaram via Analytics”, disse a Kaspersky em um relatório publicado ontem. “Como resultado, os invasores podem acessar os dados roubados em sua conta do Google Analytics.”
A empresa de segurança cibernética disse ter encontrado cerca de duas dezenas de sites infectados na Europa e nas Américas do Norte e do Sul especializados na venda de equipamentos digitais, cosméticos, produtos alimentícios e peças de reposição.
Contornando a Política de Segurança de Conteúdo
O ataque depende da premissa de que os sites de comércio eletrônico que usam o serviço de análise da web do Google para rastrear visitantes colocaram os domínios associados na lista de permissões em sua política de segurança de conteúdo (CSP).
CSP é uma medida de segurança adicional que ajuda a detectar e mitigar ameaças provenientes de vulnerabilidades de cross-site scripting e outras formas de ataques de injeção de código, incluindo aqueles adotados por vários grupos Magecart .
O recurso de segurança permite que os webmasters definam um conjunto de domínios com os quais o navegador da web deve ter permissão para interagir para uma URL específica, evitando assim a execução de código não confiável.
A fonte do problema é que o sistema de regras CSP não é granular o suficiente”, disse o vice-presidente de pesquisa da PerimeterX, Amir Shaked. “Reconhecer e interromper a solicitação maliciosa de JavaScript acima requer soluções de visibilidade avançadas que podem detectar o acesso e exfiltração de dados confidenciais do usuário (neste caso, o endereço de e-mail e a senha do usuário).”
Para colher dados usando essa técnica, tudo o que é necessário é um pequeno pedaço de código JavaScript que transmita os detalhes coletados, como credenciais e informações de pagamento, por meio de um evento e outros parâmetros que o Google Analytics usa para identificar com exclusividade as diferentes ações realizadas em um site.
“Os administradores escrevem * .google-analytics.com no cabeçalho Content-Security-Policy (usado para listar recursos dos quais o código de terceiros pode ser baixado), permitindo que o serviço colete dados. Além disso, o ataque pode ser implementado sem baixando código de fontes externas “, observou a Kaspersky
Para tornar os ataques mais secretos, os invasores também verificam se o modo de desenvolvedor – um recurso frequentemente usado para detectar solicitações de rede e erros de segurança, entre outras coisas – está habilitado no navegador do visitante, e procedem apenas se o resultado da verificação for negativo.
Uma campanha “novela” desde março
Em um relatório separado divulgado ontem, a Sansec, com sede na Holanda, que rastreia ataques de skimming digital, descobriu uma campanha semelhante desde 17 de março que entregou o código malicioso em várias lojas usando um código JavaScript hospedado no Firebase do Google.
Para ofuscação, o ator por trás da operação criou um iframe temporário para carregar uma conta do Google Analytics controlada por um invasor. Os dados do cartão de crédito inseridos nos formulários de pagamento são então criptografados e enviados para o console de análise de onde são recuperados usando a chave de criptografia usada anteriormente.
Dado o amplo uso do Google Analytics nesses ataques, contramedidas como o CSP não funcionarão se os invasores tirarem proveito de um domínio já permitido para sequestrar informações confidenciais.
“Uma possível solução viria de URLs adaptáveis, adicionando o ID como parte do URL ou subdomínio para permitir que os administradores definam regras CSP que restringem a exfiltração de dados para outras contas”, concluiu Shaked.
“Uma direção futura mais granular para fortalecer a direção do CSP a ser considerada como parte do padrão CSP é a aplicação do proxy XHR . Isso criará essencialmente um WAF do lado do cliente que pode impor uma política sobre onde campos de dados específicos podem ser transmitidos . ”
Infelizmente, como cliente, não há muito que você possa fazer para se proteger de ataques de roubo de formulários. Ativar o modo de desenvolvedor em navegadores pode ajudar ao fazer compras online.
- Prefeitura de Itapevi realiza Feirão de Empregos com salários de até R$ 6 mil
A Prefeitura de Itapevi promove, na próxima terça-feira (26), das 8h às 16h, no Resolve Fácil Empresa (rua Agostinho Ferreira Campos, 752 – Vila Nova Itapevi), mais um Feirão de Empregos. Os salários podem chegar até R$ 6 mil nas mais de 2 mil vagas disponíveis. A ação é gratuita, com atendimento das 8h às… Leia mais: Prefeitura de Itapevi realiza Feirão de Empregos com salários de até R$ 6 mil - HORÓSCOPO DO DIA 24/08/2025 | Portal CarapicuíbaQuem nasceu hoje É o ponto de apoio da família e amigos. Está sempre se colocando na frente dos projetos, pois o comando é ato espontâneo para este nativo. Alcançará sucesso no mundo profissional. Organizado, bondoso e criterioso. Alerta Os virginianos passam o domingo no alerta, e os astros pedem paciência com a família e… Leia mais: HORÓSCOPO DO DIA 24/08/2025 | Portal Carapicuíba
- Netflix escolhe Carapicuíba para filmar série sobre a Copa de 1970
Carapicuíba entrou para o cenário das grandes produções da Netflix! Depois de Osasco ter sido palco da série sobre a tragédia do Césio-137, agora foi a vez da cidade receber parte das filmagens da aguardada minissérie Copa de 1970 – A Saga do Tri, que promete emocionar os fãs de futebol ao reviver uma das… Leia mais: Netflix escolhe Carapicuíba para filmar série sobre a Copa de 1970
Descubra mais sobre Portal Carapicuíba
Assine para receber nossas notícias mais recentes por e-mail.
