I ricercatori di sicurezza Microsoft hanno recentemente osservato diverse campagne di Web skimming che utilizzano più tecniche di offuscamento per eludere il rilevamento degli script di controllo.
Indice degli argomenti
Che cos’è il Web skimming
Con il termine web skimming ci si riferisce alla pratica fraudolenta di raccogliere informazioni di pagamento dei visitatori di un sito Web durante le fasi di checkout.
I truffatori, sfruttando le vulnerabilità nelle piattaforme di e-commerce, nei CMS e talvolta in plugin e temi di terze parti, riescono a iniettare script di skimming nelle pagine degli store online.
Il web skimming, in genere, si rivolge a piattaforme come Magento, PrestaShop e WordPress, tipicamente utilizzati dai negozi online per la loro facilità d’uso e portabilità. Famoso al riguardo Magecart, il collettivo criminale che ha catturato l’attenzione dei media nel corso degli anni per l’imponente impiego di queste tecniche furtive compromettendo migliaia di siti Web.
Web skimming, PHP incorporati in file immagine
In una delle campagne osservate, dai ricercatori Microsoft, gli attori della minaccia starebbero impiegano script PHP incorporati in file immagine e contenenti JavaScript codificati in Base64.
Scopo ultimo eseguire in tal modo il codice malevolo durante il caricamento della pagina index.php del sito Web.
In particolare si tratterebbe di due istanze di file immagine caricate su un server ospitato da Magento rispettivamente una favicon e una tipica immagine web.
Questo metodo di consegna si discosterebbe dal solito modus operandi. Infatti prendendo di mira il lato server per iniettare gli script, ciò consentirebbe di aggirare le protezioni di tipo CSP (Content Security Policy) che solitamente impediscono il caricamento di script esterni.
“L’inserimento dello script PHP in un file immagine è interessante perché, di default, il web server non eseguirebbe il suddetto codice. Sulla base di precedenti attacchi simili, riteniamo che l’autore dell’attacco abbia utilizzato un’espressione include PHP per includere l’immagine (che contiene il codice PHP) nella pagina indice del sito Web, in modo che venga caricata automaticamente a ogni visita alla pagina”, si legge sul rapporto Microsoft.
Gli script PHP incorporati nelle immagini, pur differendo leggermente nella loro implementazione, conterrebbero comunque un codice JavaScript identico.
In entrambi i casi delle immagini, lo script PHP incorporato eseguito si occuperebbe di:
- recuperare l’URL della pagina corrente;
- cercare le parole chiave “checkout” e “onepage” mappate alla pagina di pagamento di Magento.
- verificare preventivamente la presenza di cookie amministrativi per agire solo su effettivi visitatori in qualità di potenziali acquirenti online;
- creare e pubblicare un modulo di pagamento di checkout falso per la raccolta dei dettagli di pagamento degli utenti target;
- raccogliere i dettagli del modulo, codificarli in HEX e Base64 e aggiungerli ai file cookie;
- infine, esfiltrare le informazioni codificate verso un server C2 presidiato, tramite richieste PHP curl.
Web skimming, spoofing di Google Analytics e Meta Pixel
Gli esperti avrebbero anche osservato applicazioni Web compromesse tramite JavaScript malevoli anche mascherati da script di Google Analytics e Meta Pixel (ex Facebook Pixel) per evitare il rilevamento.
Nel caso di specie per lo spoofing di Google Analytics sarebbe stato trovato del codice di Google Tag Manager contraffatto con iniettata un una stringa con codifica Base64.
Per lo spoofing di Meta Pixel invece sarebbero stati registrati domini ad hoc e utilizzati certificati TLS (HTTPS):
- otech[.]fun – creato il 30 agosto 2021
- techlok[.]bar – creato il 3 settembre 2021
- dratserv[.]bar – creato il 15 settembre 2021
Lo script ospitato in questi domini, sulla base di ciò che i ricercatori sarebbero stati in grado di deoffuscare, riuscirebbe a eseguire oltre lo skimming dei dati, una tecnica anti-debugging e carpire password.
Possibili soluzioni di mitigazione
È ormai un dato di fatto che i criminali informatici provino sempre nuovi modi per mettere a segno le proprie azioni illecite, in una continua lotta contro chi invece lavora per scoprire le strategie di attacco e fornire nuovi strumenti di difesa. Pertanto, per mitigare i rischi legati alle conseguenze di un attacco di tipo web skimming (eventualità da non sottovalutare) è consigliabile che in ambito privato e aziendale si tengano sempre aggiornati sistemi antivirus, firewall, sistemi operativi e browser adottando, opzionalmente, un adblocker per il controllo online dell’esecuzione di banner, script e popup.
Dall’altra parte, per chi eroga servizi e accetta pagamenti online il Team di Microsoft 365 Defender raccomanda di:
- garantire l’aggiornamento delle proprie piattaforme di commercio elettronico, CMS e plug-in installati con le ultime patch di sicurezza;
- usufruire solo di servizi di terze parti erogati da fonti attendibili;
- eseguire un controllo regolare e approfondito delle proprie risorse Web per rilevare eventuali contenuti compromessi o sospetti.
Al momento si apprende che alcuni dei campioni di file HTML e JavaScript rilevati dal Team Microsoft avrebbero tassi di rilevamento molto bassi su VirusTotal.
