Sono state identificate le attività malevoli di un nuovo gruppo Magecart che sta distribuendo uno skimmer digitale in grado di eludere macchine virtuali e sandbox, passando quindi inosservato ai sistemi di sicurezza e garantendosi l’esecuzione esclusivamente su macchine reali.
Secondo i ricercatori di Malwarebytes labs, gli attori della minaccia Magecart starebbero utilizzando una tecnica che consente loro di rallentare l’analisi ed eludere i controlli di sicurezza semplicemente rilevando tramite browser le macchine virtuali che comunemente vengono utilizzate per le analisi dinamiche dei malware da parte dei ricercatori di sicurezza ed eventuali sandbox.
MageCart: cos’è, come funziona e come prevenire un attacco del famigerato gruppo hacker
La ricerca di valori specifici che indichino la presenza di software di virtualizzazione è una funzionalità anti-VM comune a molte classi di malware, ma il rilevamento di ambienti virtualizzati tramite browser in questi tipi di minacce web è raramente impiegato. In genere gli attaccanti si limitano a selezionare le vittime in base alla geolocalizzazione e alle stringhe user-agent.
Uno skimmer, lo ricordiamo, è un dispositivo capace di leggere ed eventualmente immagazzinare su una memoria EPROM o EEPROM i dati memorizzati nella banda magnetica delle carte di credito o dei badge. Proprio per questo, gli skimmer (e di conseguenza gli e-skimmer o digital skimmer) vengono utilizzati in azioni fraudolente volte a rubare i dati delle carte di credito e bancomat di ignari utenti.
Gli attacchi e-skimming, anche noti come web skimming o MageCart (dal famigerato gruppo hacker specializzato proprio negli attacchi a siti di e-commerce), sono apparsi in natura nel 2016: negli ultimi anni, però, si sono intensificati a tal punto da diventare, di fatto, una reale minaccia non solo per i privati ma anche e soprattutto per aziende e organizzazioni pubbliche.
Indice degli argomenti
Rilevamento anti-VM e esfiltrazione dati
Secondo il rapporto dei ricercatori, l’indagine sarebbe iniziata esaminando un dominio segnalato in cui del codice JavaScript sospetto veniva caricato insieme a un’immagine banner “website-payments-graphiscs-all-new-01.png” riportante i loghi di vari metodi di pagamento.
La funzione anti-VM, che consente di intercettare la presenza di potenziali ricercatori e sandbox e di agire solo su vittime reali, si troverebbe per l’appunto all’interno di tale script.
L’escamotage consisterebbe nell’utilizzare l’API JavaScript WebGL per raccogliere informazioni sulla macchina dell’utente e rilevare la presenza di una virtualizzazione ricercando precisi nomi identificativi per il renderer grafico.
In particolare, poiché le macchine virtuali, qualora non siano supportate direttamente dai software di virtualizzazione, possono utilizzare come driver della scheda grafica una GPU di fallback (per creare grafica con accelerazione GPU sfruttando l’implementazione WebGL del browser), lo skimmer controllerebbe la presenza dei termini chiave “SwiftShader” e “llvmpipe” (rendering di fallback rispettivamente utilizzato da Google Chrome e Firefox) o “virtualbox” per stabilire se il visitatore stia visualizzando la pagina web all’interno di una Virtual Machine.
Nei casi in cui le condizioni di controllo non vengano soddisfatte (ovvero lo script è eseguito in una macchina reale), il processo di estrazione dei dati si avvia regolarmente.
L’analisi mostra come tra le informazioni della vittima codificate ed esfiltrate allo stesso host (come server C2) tramite una singola richiesta POST figurerebbero nominativi, indirizzi e-mail, numeri di telefono, dati delle carte di credito, user-agent browser e codici utente univoci “Uid”.
Soluzioni di mitigazione
È consuetudine per i criminali informatici adottare sempre nuovi modi per i propri scopi illeciti, in una continua lotta contro chi invece lavora per scoprire le strategie di attacco e fornire nuovi mezzi di difesa.
Il controllo anti-VM anche se risulta una strategia insolita per la diffusione di skimmer digitali è comunque una tecnica già collaudata che va sempre contrastata con misure efficaci.
Pertanto, per mitigare, ulteriormente, i rischi legati al potenziale pericolo che un sito web possa veicolare del codice malevolo è consigliabile per gli utenti:
- avere sistemi antivirus e firewall aggiornati per impedire l’esecuzione arbitraria di codice sospetto e accessi illegittimi;
- provvedere periodicamente all’aggiornamento dei sistemi operativi e dei browser;
- optare per un adblocker per il controllo su banner, script e pop-up;
- nel caso di acquisti online, affidarsi sempre a store e circuiti di pagamento noti e sicuri.
