I ricercatori di Akamai hanno scoperto e analizzato una nuova campagna web skimmer in stile Magecart, progettata per rubare PII (informazioni di identificazione personale) e informazioni sulla carta di credito dai siti Web di commercio elettronico.
Gli attaccanti impiegherebbero una serie di tecniche di evasione durante la campagna, tra cui l’offuscamento di Base64 e il mascheramento dell’host per impersonare servizi di terze parti popolari, come Google Analytics o Google Tag Manager.
JavaScript offuscato utilizzato come caricatore dell’attacco per impersonare l’host come Google Analytics (fonte: Akamai).
Indice degli argomenti
Attacchi Magecart
Gli attacchi web skimming, anche noti come e-skimming o Magecart (dal famigerato collettivo specializzato proprio negli attacchi a siti di e-commerce), apparsi in natura nel 2016, negli ultimi anni si sono intensificati a tal punto da diventare, di fatto, una reale minaccia per privati e aziende.
Secondo uno schema caratteristico, i criminali nascondono questi skimmer digitali su siti legittimi compromessi, iniettando script malevoli allo scopo di esfiltrare tutti dettagli inseriti sui moduli di pagamento online.
La nuova strategia di attacco
“Un nuovo skimmer in stile Magecart ha fatto scalpore nelle ultime settimane. La principale caratteristica distintiva di quest’ultima campagna è l’utilizzo di siti Web legittimi compromessi per facilitare l’occultamento di attacchi su altri siti Web mirati dietro i loro domini autentici.”, si legge nel rapporto Akamai.
In particolare, gli attaccanti identificano, dapprima, siti legittimi vulnerabili utilizzandoli come server C2 per i loro attacchi e per ospitare il codice skimmer, per dopo iniettare piccoli frammenti di codice JavaScript nei siti e-commerce sfruttabili (Magento, WooCommerce, WordPress e Shopify) recuperando il resto del codice dannoso dai siti Web compromessi in precedenza.
L’abuso di siti Web legittimi con una buona reputazione per distribuire gli skimmer digitali consentirebbe agli attori delle minacce di eludere più facilmente il rilevamento.
Le due varianti del web skimmer
Il rapporto Akamai evidenzia per questa campagna l’esistenza di due varianti dello skimmer.
La prima sarebbe una versione altamente offuscata contenente un elenco di selettori CSS (Cascading Style Sheets) personalizzati secondo il target per intercettare ed esfiltrare i dettagli della carta di credito degli ignari clienti per scopi illegali, mentre la seconda, non altrettanto protetta, avrebbe esposto nel codice degli indicatori che avrebbero permesso ad Akamai di identificare i siti web delle vittime e di valutare la portata della campagna.
Dettagli PII presi di mira dallo skimmer (fonte: Akamai).
Tecnica di esfiltrazione
Anche per l’esfiltrazione dei dati verrebbe applicato un livello di codifica Base64 per offuscare la trasmissione e ridurre al minimo la probabilità di scoprire la violazione. Dopo che gli skimmer hanno rubato i dettagli dei clienti, i dati vengono inoltrati sul server C2 (byvlsa[.]com, chatwareopenalgroup[.]net) tramite una richiesta HTTP creando un elemento tag IMG.
Esfiltrazione dei dati tramite una richiesta HTTP con parametri query codificati Base64 (fonte: Akamai).
Conclusioni
Le vittime sarebbero state identificate in Nord America, America Latina ed Europa e si stima che alcune di queste gestiscano centinaia di migliaia di visitatori al mese, mettendo potenzialmente a rischio furto, abuso e vendita di dati personali e carte di credito degli acquirenti sul dark web. Purtroppo questi tipi di attacchi, grazie alla crescente varietà di vulnerabilità e di piattaforme di commercio elettronico sfruttabili, stanno diventando sempre più evasivi e difficili da rilevare.
“In genere, questi attacchi non possono essere rilevati dai metodi più diffusi di sicurezza Web, come i Web Application Firewall (WAF), e vengono eseguiti sul lato client. Ciò può comportare che gli attacchi Magecart rimangano inosservati per lunghi periodi.”, commenta il ricercatore di sicurezza Roman Lvovsky.
Per mitigare i rischi di esposizione a queste tipologie di attacchi, per chi eroga servizi e accetta pagamenti online si consiglia di implementare l’autenticazione a più fattori per gli account amministrativi dei propri siti di commercio elettronico e di affidarsi a circuiti di credito affidabili, impiegando con i clienti metodi di pagamento sicuri e collaudati.
Per i clienti del mercato elettronico si raccomanda di mantenere aggiornati antivirus, sistemi operativi, browser e relativi plug-in ed impostare limiti di addebito sulle proprie carte di credito.
“Gli attacchi di web skimming possono essere molto dannosi per le organizzazioni di commercio digitale.”, continua l’esperto di Akamai, “La perdita di PII e dei dati della carta di credito può danneggiare la reputazione delle organizzazioni tra le altre ripercussioni. Molti degli attacchi Magecart di più alto profilo non sono stati rilevati per mesi, se non anni. Dei 9.290 domini del commercio digitale che hanno subito attacchi Magecart nel 2022, 2.468 sono rimasti attivamente infetti alla fine di quell’anno, rendendolo una formidabile minaccia per le organizzazioni commerciali”.
Articolo originariamente pubblicato il 05 Giu 2023
