I ricercatori di cyber sicurezza di Sucuri segnalano una nuova campagna di skimmer per carte di credito che prende di mira le pagine di checkout dell’eCommerce WordPress, inserendo codice JavaScript malevolo in una tabella del database associata al sistema di gestione dei contenuti (CMS). L’obiettivo consiste nel rubare i dati sensibili dei pagamenti.
“La tematica degli skimmer su WordPress evidenzia quanto sia cruciale proteggere le piattaforme online da attacchi sempre più avanzati”, commenta Alessandro Sevà, Technical Sales di Tinexta Cyber.
Indice degli argomenti
Skimmer di WordPress: attacchi sempre più evoluti
“Questo malware per lo skimmer di carte di credito che colpisce i siti Web WordPress inietta silenziosamente JavaScript dannoso nelle voci del database per rubare i dati sensibili dei pagamenti”, ha affermato Puja Srivastava, ricercatore di Sucuri, in una nuova analisi.
“Il malware si attiva specificamente nelle pagine di checkout, dirottando i campi di pagamento esistenti o iniettando un falso modulo di carta di credito”.
La società di sicurezza dei siti web di proprietà di GoDaddy ha dichiarato di aver rilevato il malware incorporato nella tabella wp_options di WordPress con l’opzione “widget_block”, permettendogli così di evitare il rilevamento da parte degli strumenti di scansione e di persistere sui siti compromessi senza attirare l’attenzione.
“Quest’ulteriore tecnica d’attacco conferma nuovamente come l’interazione umana sia fondamentale per raggiungere i target desiderati”, mette in guardia Michele Massese, Senior Sales di Tinexta Cyber.
I dettagli sugli skimmer di WordPress
L’idea è quella di inserire il codice JavaScript dannoso in un widget di blocco HTML attraverso il pannello di amministrazione di WordPress (wp-admin > widget).
Il codice JavaScript funziona controllando se la pagina corrente è una pagina di checkout e si assicura che entri in azione solo dopo che il visitatore del sito sta per inserire i propri dati di pagamento, a quel punto crea dinamicamente una schermata di pagamento fasulla che imita processori di pagamento legittimi come Stripe.
Il modulo permette di catturare i numeri di carta di credito degli utenti, le date di scadenza, i numeri CVV e le informazioni di fatturazione. In alternativa, lo script è anche in grado di captare in tempo reale i dati inseriti nelle schermate di pagamento legittime per massimizzare la compatibilità.
I dati, oggetto del furto, subiscono successivamente una codificazione in Base64 e sono combinati con la crittografia AES-CBC per farli apparire innocui e resistere ai tentativi di analisi. Nella fase finale, vengono trasmessi a un server controllato dall’aggressore (“valhafather[.]xyz” o “fqbe23[.]xyz”).
Tre livelli di offuscamento
Le informazioni raccolte vengono poi sottoposte a tre livelli di offuscamento, codificandole prima come JSON, cifrandole con la chiave “script” e infine utilizzando la codifica Base64, prima di essere esfiltrate su un server remoto (“staticfonts[.]com”).
“Lo script è progettato per estrarre le informazioni sensibili della carta di credito da campi specifici della pagina di pagamento”, ha osservato Srivastava. “Poi il malware raccoglie altri dati dell’utente attraverso le API di Magento, tra cui il nome, l’indirizzo, l’e-mail, il numero di telefono e altre informazioni di fatturazione dell’utente. Questi dati vengono recuperati attraverso i modelli di dati cliente e di preventivo di Magento”.
Nuova campagna phishing contro PayPal
La divulgazione segue anche la scoperta di una campagna di phishing a scopo finanziario che ha indotto i destinatari a fare clic sulle pagine di accesso di PayPal con la scusa di una richiesta di pagamento in sospeso per un valore di quasi 2.200 dollari.
“Il truffatore sembra aver semplicemente registrato un dominio di prova Microsoft 365, che è gratuito per tre mesi, e poi ha creato una lista di distribuzione (Billingdepartments1[@]gkjyryfjy876.onmicrosoft.com) contenente le e-mail delle vittime”, ha dichiarato Carl Windsor di Fortinet FortiGuard Labs, contattato da TheHackerNews. “Sul portale web di PayPal, richiedono semplicemente il denaro e aggiungono la lista di distribuzione come indirizzo”.
A rendere subdola la campagna è il fatto che i messaggi provengono da un indirizzo PayPal legittimo (service@paypal.com) e contengono un URL di accesso autentico, che consente alle e-mail di eludere gli strumenti di sicurezza.
Inoltre, non appena la vittima tenta di accedere al proprio conto PayPal per la richiesta di pagamento, il suo conto si collega automaticamente all’indirizzo e-mail della lista di distribuzione, permettendo all’attore malintenzionato di dirottare il controllo del conto.
Tecniche di spoofing
Nelle ultime settimane, i ricercatori hanno osservato anche attori malintenzionati che hanno sfruttato una nuova tecnica chiamata simulazione di transazione (spoofing) per rubare criptovalute dai portafogli delle vittime.
Le catene di infezione sfruttano l’intervallo di tempo che intercorre tra la simulazione e l’esecuzione delle transazioni, permettendo agli aggressori di creare siti falsi che imitano le applicazioni decentralizzate (DApp) per sferrare attacchi fraudolenti di prosciugamento del portafoglio.
“Questo nuovo vettore di attacco rappresenta un’evoluzione significativa nelle tecniche di phishing”, ha dichiarato il fornitore di soluzioni antitruffa Web3. “Invece di affidarsi a un semplice inganno, gli aggressori sfruttano ora le caratteristiche dei portafogli affidabili su cui gli utenti fanno affidamento per la sicurezza. Questo approccio sofisticato rende il rilevamento particolarmente impegnativo”.
Come proteggersi dagli skimmer di WordPress
“È fondamentale adottare un approccio proattivo alla sicurezza, con monitoraggio costante e aggiornamenti regolari, per contrastare queste minacce in evoluzione”, spiega Alessandro Sevà.
Questo sviluppo arriva più di un mese dopo che Sucuri ha evidenziato una campagna simile che sfruttava un malware JavaScript per creare dinamicamente moduli di carte di credito falsi o estrarre i dati inseriti nei campi di pagamento delle pagine di checkout.
“Bisogna continuare nella sensibilizzazione verso gli utenti finali, tramite percorsi di awareness dedicati“, conclude Michele Massese.
