Hack Alerta

Magecart reaparece com skimmer que fura checkouts e exfiltra cartões

Por Redação Hack Alerta Publicado em 14/01/2026 08:03 Cyber ataques Tempo de leitura: 3 min

Campanha Magecart ativa injeta skimmers JavaScript em checkouts (WordPress), captura dados de cartão e faturamento, aplica XOR (chave 777) e envia payloads codificados em Base64 a servidores de exfiltração. Técnicas incluem MutationObserver, ocultação de formulários e detecção de admin.

Pesquisadores documentaram uma campanha de web‑skimming atribuída à família Magecart que compromete lojas online e injeta um skimmer JavaScript sofisticado no processo de checkout, exfiltrando dados de cartão e informações de cobrança.

Como o skimmer opera

Relatório do Silent Push, reproduzido pela matéria do Cyber Security News, descreve o modus operandi: o atacante injeta JavaScript malicioso em sites de e‑commerce (frequentemente WordPress) e mantém o código adormecido até que um visitante acesse a página de checkout. O skimmer utiliza técnicas de integração com o fluxo de render do WordPress, incluindo o uso da action hook wp_enqueue_scripts para persistir no carregamento da página.

Técnicas e exfiltração

  • O código estabelece um MutationObserver para monitorar mudanças no DOM e detectar quando o formulário de pagamento é apresentado.
  • Ele esconde o formulário legítimo (por exemplo, o Stripe embutido) e injeta um formulário quase idêntico que captura números de cartão, validade, CVV, e campos de faturamento.
  • O skimmer aplica uma cifra XOR com chave fixa (777) ao objeto de dados coletados e então codifica o resultado em Base64 antes de enviá‑lo via POST a servidores de exfiltração hospedados em infraestrutura comprometida.
  • O código inclui lógica de detecção de bandeira do cartão (Mastercard, Visa, Amex, JCB, Discover, UnionPay etc.) para exibir imagens e reforçar a aparência legítima do formulário.

Evasão e persistência

Para evitar detecção por administradores, o skimmer detecta a presença da barra de administração do WordPress e se desativa automaticamente quando um administrador visualiza o site. A infraestrutura associada ao grupo faz uso de domínios comprometidos e serviços de hospedagem resilientes para manter operacionais os servidores de comando e exfiltração.

Impacto e alcance

Os pesquisadores observam que a campanha tem operado desde pelo menos 2022 e continua ativa em 2026, atingindo potencialmente milhões de clientes ao focar provedores de pagamento e lojas que processam cartões. Ao exfiltrar dados primários de pagamento e informações de faturamento, o ataque facilita fraude com cartões e posterior monetização dos dados roubados.

Mitigações para lojistas e provedores

  • Auditar o código fonte e as inclusões de script em páginas de checkout; bloquear ou revisar quaisquer scripts de terceiros carregados;
  • Implementar Content Security Policy (CSP) restritiva para impedir carregamento de scripts não autorizados;
  • Reforçar controles sobre o ambiente WordPress: limitar privilégios, proteger credenciais de deploy, e monitorar alterações de arquivos e hooks de carregamento;
  • Monitorar e analisar requisições de POST suspeitas para domínios externos e padrões de exfiltração (por exemplo, payloads longos base64/XOR) em logs de aplicação e WAF.

Conclusão

O retorno de campanhas Magecart com técnicas refinadas de integração e exfiltração lembra que lojas online e provedores de pagamento devem tratar o hardening de checkout como prioridade. A combinação de técnicas de engenharia social (mostrar erro e induzir novo preenchimento) e persistência técnica aumenta a efetividade do golpe, exigindo controles técnicos e operacionais para mitigação.

Fonte: Cyber Security News (baseado em análise do Silent Push)

Baseado em publicação original de Cyber Security News
Tags: #magecart #web-skimming #ecommerce #payment-fraud #wordpress
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar