Hack Alerta

Campanha Magecart com 50+ scripts mira checkouts e PagSeguro

Por Redação Hack Alerta Publicado em 30/12/2025 18:00 Cyber ataques Tempo de leitura: 4 min

Pesquisa da Source Defense Research identificou uma campanha global de web skimming com mais de 50 scripts modulares que interceptam dados em checkouts e fluxos de cadastro. A operação inclui variações localizadas que visam provedores como PagSeguro, Stripe e PayPal, e emprega técnicas de skimming silencioso, formulários falsos e contramedidas anti‑forense. Não há métricas públicas sobre número de sites ou vítimas afetadas.

Resumo

Pesquisadores descobriram uma campanha global de web skimming composta por mais de 50 scripts modulares que interceptam dados em fluxos de checkout e criação de contas. A operação inclui variações localizadas que visam provedores de pagamento como Stripe, Mollie, PagSeguro, OnePay e PayPal.

O que foi identificado

Analistas da Source Defense Research identificaram uma infraestrutura distribuída que serve e controla os scripts maliciosos. Entre domínios usados pelos atacantes há nomes criados para parecer bibliotecas ou serviços legítimos, como googlemanageranalytic.com, gtm-analyticsdn.com e jquery-stupify.com. Segundo o relatório, os scripts são carregados em páginas de comércio eletrônico e alteram formulários de pagamento e fluxos de cadastro para capturar dados.

Vetor e técnicas

A campanha explora múltiplos vetores de injeção de código no cliente (client‑side) e utiliza um conjunto de técnicas que dificultam a detecção e a resposta:

  • inserção de formulários de pagamento falsos e iframes de phishing que se misturam à interface legítima;
  • skimming silencioso, gravando campos à medida que o usuário digita;
  • módulos localizados que imitam campos e fluxos de provedores de pagamento específicos (por exemplo, PagSeguro, Stripe, PayPal);
  • contramedidas anti‑forense, como campos ocultos e geração de números de cartão que passam na checagem de Luhn para confundir análises e logs.

Escopo e limites das informações

O material disponível descreve a arquitetura e as técnicas usadas, mas não traz métricas concretas sobre número de sites comprometidos, quantidade de vítimas ou volume de dados exfiltrados. Também não há, até o momento, uma lista pública de domínios de comerciantes afetados ou estimativa do impacto financeiro. Onde os relatórios citam provedores de pagamento alvo, tratam‑se de variações do malware adaptadas a essas plataformas, não necessariamente de comprometimentos confirmados dos provedores.

Impacto potencial para o Brasil

A menção explícita a PagSeguro nas variações locais do malware torna a campanha relevante para comerciantes e consumidores brasileiros. Ataques de web skimming direcionados a gateways locais podem capturar dados de pagamento, credenciais e informações pessoais, permitindo apropriação de contas e criação de acessos administrativos persistentes em sites comprometidos — segundo a análise, o malware busca também credenciais e PII além dos dados de cartão.

Evidências de persistência

Além do roubo de dados de pagamento, os pesquisadores relatam que o conjunto de scripts é usado para obter credenciais e, em casos descritos, estabelecer contas administrativas falsas que garantem persistência nos sistemas comprometidos. Essa capacidade amplia o risco: com acesso de administrador, invasores podem reimplantar scripts, modificar páginas e continuar a coleta por períodos prolongados.

Mitigações apontadas

O texto original recomenda medidas técnicas voltadas ao ambiente client‑side e à proteção de formulários de pagamento:

  • implementar Content Security Policy (CSP) rigorosa para limitar recursos externos carregados pela página;
  • monitoramento em tempo real de formulários de pagamento para detectar alterações e injeções inesperadas;
  • fortalecer controles de acesso administrativo e auditoria de contas com privilégios elevados;
  • revisar e validar dependências e scripts de terceiros carregados em páginas de checkout, evitando domínios suspeitos ou não verificados.

O que ainda falta saber

Os relatórios públicos não informam o número de lojas afetadas, nem quantos consumidores foram impactados. Também não há detalhes sobre vetores iniciais de comprometimento em cada site (por exemplo, se a injeção ocorreu via terceiros, plugins, compromissos de CMS ou cadeias de fornecimento). Essas lacunas dificultam dimensionar o incidente e priorizar respostas locais.

Recomendações práticas para equipes de segurança

Para equipes de segurança de e‑commerce e provedores de pagamentos, as recomendações derivadas das observações dos pesquisadores incluem priorizar auditoria de scripts client‑side, restringir carregamento de recursos a domínios aprovados, implementar detecção de anomalias em formulários de pagamento e revisar contas administrativas e mecanismos de recuperação de senha que possam ser explorados para criar persistência.

Observação final

O alerta evidencia a evolução das campanhas de Magecart, que deixam de focar apenas em números de cartão e ampliam a coleta para credenciais e PII, aumentando o risco de takeover e persistência. Dados mais precisos sobre alcance e vítimas não foram divulgados na fonte citada; organizações devem assumir risco elevado até que investigações complementares esclareçam o impacto real.

Baseado em publicação original de Cyber Security News
Tags: #magecart #web-skimming #e-commerce #pagseguro #pagamentos #scripts-maliciosos #fraude #brasil #lgpd
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar