Il famigerato collettivo di criminal hacker MageCart, specializzato proprio negli attacchi a siti di e-commerce, sta utilizzando il servizio di messaggistica crittografata Telegram come canale per inviare ai propri server di comando e controllo le informazioni delle carte di credito rubate tramite un sofisticato e-skimmer.
Questo è ciò che emerge dall’approfondimento fatto da Jérôme Segura di Malwarebytes, riprendendo l’analisi condivisa dal ricercatore di sicurezza conosciuto con il nickname @AffableKraut in un post su Twitter.
In effetti, negli ultimi mesi si sono intensificate le campagne di skimming messe in atto attraverso i più disparati stratagemmi:
- mascherando gli e-skimmer come favicon;
- nascondendo gli e-skimmer all’interno dei metadati delle immagini;
- dirottando la navigazione verso siti compromessi tramite attacchi omografici.
Ma la recente campagna individuata presenta ancora un’altra novità, anche se simile a quella già denunciata nello scorso mese di giugno dai ricercatori di Sansec in cui il canale per l’esfiltrazione impiegato è stato il servizio Google Analytics.
Anche in questo caso, infatti, invece di sfruttare una propria infrastruttura o delle risorse compromesse, gli attaccanti si sono avvalsi indebitamente di una piattaforma legittima e gestita da terzi (Telegram, come nel caso del gruppo criminale MageCart).
Indice degli argomenti
L’e-skimmer che usa Telegram: come funziona
Lo skimmer, implementato in uno script .js, si attiva nella pagina di pagamento ed esfiltra tutte le informazioni personali e bancarie inserite dal cliente solo se l’URL corrente del browser contiene delle parole chiave indicanti che trattasi di sito e-commerce e solo dopo che il cliente convalida l’acquisto.
A questo punto, il browser invia i dettagli di pagamento (titolare, indirizzo, numero di carta, scadenza, CVV) oltre che al legittimo payment processor anche ai criminal hacker, con un messaggio istantaneo inviato ad un chat privata Telegram tramite una richiesta API e un ID bot codificato nello stesso script skimmer.
Gli attaccanti, ricevendo persino una notifica in tempo reale per ogni nuova vittima colpita, possono così monetizzare rapidamente le carte di credito rubate nei black market underground.
Ecco lo schema del meccanismo di esfiltrazione basato su un canale Telegram legittimo.
Lo skimmer javascript
È possibile dedurre la sequenza algoritmica dello skimmer leggendo le linee di codice dello script (telegram_clean.js ottimizzato e ripulito delle parti sensibili sfruttabili da altri soggetti) condiviso dallo stesso ricercatore @AffableKraut sulla piattaforma GitHub.
L’algoritmo, dopo aver eseguito le consuete routine di controllo anti-debugging/anti-reversing per contrastare eventuali analisi di sicurezza, procede, con la funzione “payer()”, dapprima a raccogliere tutti i dati di interesse da carpire (“getData()”), crittografarli con una chiave pubblica ed eseguire, infine, il processo principale di esfiltrazione offuscato tramite codifica base64.
Codice skimmer (deoffuscato) per l’invio della richiesta API di Telegram.
Un record JSON “dd”, contenente i dati crittografati nella variabile “tmessage” e l’identificativo del canale Telegram privato nella variabile “tchat”, viene quindi trasmesso in una richiesta API insieme al token autorizzativo di spedizione memorizzato nella variabile “tbot”.
L’e-skimmer che usa Telegram: possibile mitigazione
Purtroppo, difendersi da queste tipologie di varianti di attacco e-skimmer risulta essere un’impresa ardua proprio a causa dello sfruttamento di un servizio di comunicazione legittimo. Pensare di bloccare tutte le connessioni Telegram a livello di rete non potrebbe essere di certo una soluzione determinante. Infatti, gli attaccanti troverebbero allo stesso modo nuovi espedienti di elusione servendosi delle vulnerabilità di un altro provider o piattaforma.
Pertanto, potrebbe essere improntato, a tutela dei consumatori, un approccio proattivo e vigile incentrato sulla collaborazione più sinergica tra ricercatori di sicurezza e fornitori di servizi e-commerce, studiando insieme strumenti e metodologie che stiano al passo con il continuo evolversi del fenomeno.
Anche se i ricercatori di Malwarebytes hanno finora identificato solo due negozi online in tal modo compromessi, ciò non vuol dire che non ce ne possano essere degli altri o che il caso si possa sottovalutare nel breve e lungo periodo.
Al momento, in attesa di un adattamento del piano strategico comune e generale (elaborando adeguati aggiornamenti dei criteri CSP – Content Security Policy e delle raccomandazioni SRI – SubResource Integrity), gli utenti per effettuare transazioni di pagamento online il più possibile in sicurezza, oltre che a agire in rete con piena consapevolezza dei rischi correlati agli e-skimmer, controllando che le transazioni avvengano attraverso protocolli HTTPS su circuiti di pagamento attendibili, devono cercare di garantire l’aggiornamento:
- dei sistemi antivirus, per impedire l’esecuzione arbitraria di codice sospetto;
- dei firewall, per la protezione da accessi illegittimi;
- dei browser e dei relativi plug-in, disabilitando se possibile la funzione DNS prefetching, rendendo, altrimenti, vane le attuali politiche di sicurezza CSP.
