Un utente malintenzionato sotto l'egida di Magecart ha infettato un numero imprecisato di siti di e-commerce negli Stati Uniti, nel Regno Unito e in altri cinque paesi con malware per la scrematura di numeri di carte di credito e informazioni di identificazione personale (PII) appartenenti a persone che effettuano acquisti su questi siti. Ma in una nuova ruga, l'autore della minaccia utilizza anche gli stessi siti degli host per distribuire il malware di scrematura delle carte ad altri siti di destinazione.
Ricercatori di Akamai chi ha notato la campagna in corso ha notato che questo non solo rende la campagna diversa dalle precedenti attività di Magecart, ma è anche molto più pericolosa.
Valutano che gli attacchi informatici vanno avanti da almeno un mese e potenzialmente hanno già colpito decine di migliaia di persone. Akamai ha affermato che oltre agli Stati Uniti e al Regno Unito, ha individuato siti Web interessati dalla campagna in Brasile, Spagna, Estonia, Australia e Perù.
Furto di carte di pagamento e altro: un doppio compromesso
Magecart è un collettivo sciolto di gruppi di criminali informatici coinvolti in attacchi di scrematura di carte di pagamento online. Negli ultimi anni, questi gruppi hanno iniettato i loro skimmer omonimi in decine di migliaia di siti in tutto il mondo, inclusi siti come Ticketmaster ed British Airways — e hanno rubato loro milioni di carte di credito, che hanno poi monetizzato in modi diversi.
Lo scorso anno Akamai ha contato gli attacchi Magecart su 9,200 siti di e-commerce, di cui 2,468 sono rimasti infetti alla fine del 2022.
Il tipico modus operandi per questi gruppi è stato iniettare surrettiziamente codice dannoso in siti di e-commerce legittimi o in componenti di terze parti come tracker e carrelli della spesa che i siti utilizzano, sfruttando vulnerabilità note. Quando gli utenti inseriscono i dati della carta di credito e altri dati sensibili nella pagina di pagamento di siti Web compromessi, gli skimmer intercettano silenziosamente i dati e li inviano a un server remoto. Finora, gli aggressori hanno preso di mira principalmente i siti che eseguono la piattaforma di e-commerce Magento open source negli attacchi Magecart.
L'ultima campagna è leggermente diversa in quanto l'attaccante non sta solo iniettando uno skimmer di carte Magecart nei siti target, ma ne sta anche dirottando molti per distribuire codice dannoso.
"Uno dei principali vantaggi dell'utilizzo di domini di siti Web legittimi è la fiducia intrinseca che questi domini hanno costruito nel tempo", secondo l'analisi di Akamai. “I servizi di sicurezza e i sistemi di punteggio dei domini in genere assegnano livelli di affidabilità più elevati ai domini con un track record positivo e una storia di utilizzo legittimo. Di conseguenza, le attività dannose condotte sotto questi domini hanno una maggiore possibilità di non essere rilevate o di essere trattate come innocue dai sistemi di sicurezza automatizzati”.
Inoltre, l'attaccante dietro l'ultima operazione ha anche attaccato siti che eseguono non solo Magento ma anche altri software, come WooCommerce, Shopify e WordPress.
Un approccio diverso, stesso risultato
"Una delle parti più importanti della campagna è il modo in cui gli aggressori hanno impostato la loro infrastruttura per condurre la campagna di web skimming", ha scritto il ricercatore di Akamai Roman Lvovsky nel post sul blog. "Prima che la campagna possa iniziare sul serio, gli aggressori cercheranno siti Web vulnerabili che fungano da 'host' per il codice dannoso utilizzato in seguito per creare l'attacco di web skimming".
L'analisi della campagna di Akamai ha mostrato che l'attaccante utilizza diversi trucchi per offuscare l'attività dannosa. Ad esempio, invece di iniettare lo skimmer direttamente in un sito Web di destinazione, Akamai ha rilevato che l'attaccante ha inserito un piccolo snippet di codice JavaScript nelle sue pagine Web che ha poi recuperato lo skimmer dannoso da un sito Web host.
L'attaccante ha progettato il caricatore JavaScript in modo che assomigli a Google Tag Manager, al codice di tracciamento di Facebook Pixel e ad altri servizi di terze parti legittimi, quindi diventa difficile da individuare. L'operatore della campagna in corso simile a Magecart ha anche utilizzato la codifica Base64 per offuscare gli URL dei siti Web compromessi che ospitano lo skimmer.
"Il processo di esfiltrazione dei dati rubati viene eseguito tramite una semplice richiesta HTTP, che viene avviata creando un tag IMG all'interno del codice dello skimmer", ha scritto Lvovsky. "I dati rubati vengono quindi aggiunti alla richiesta come parametri di query, codificati come una stringa Base64."
Come dettaglio sofisticato, Akamai ha anche trovato il codice nel malware skimmer che assicurava di non rubare due volte la stessa carta di credito e le stesse informazioni personali.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoAiStream. Intelligenza dei dati Web3. Conoscenza amplificata. Accedi qui.
- Coniare il futuro con Adryenn Ashley. Accedi qui.
- Acquista e vendi azioni in società PRE-IPO con PREIPO®. Accedi qui.
- Fonte: https://www.darkreading.com/attacks-breaches/different-kind-magecart-card-skimming-campaign