skip to Main Content

Cybercrime, Magecart cambia approccio per rubare le carte di credito sui siti e-commerce

di Pierguido Iezzi

Il gruppo del cybercrime, specializzato nello skimming, ora utilizza web shell PHP e favicon per ottenere l’accesso da remoto ai siti-bersaglio

Magecart 12, ultima incarnazione di un gruppo di skimmer attivo da anni sotto diverse sembianze, continua a lanciare i propri attacchi con il malware creato per imitare una favicon, ovvero un’icona associata ad una particolare pagina web. Il file, denominato Magento.png, ha lo scopo di mascherarsi da immagine, ma nella realtà, non essendo nel formato corretto (.PNG), non è un’immagine. Viene iniettato nei siti compromessi, sostituendo così le tag delle icone preferite legittime e conducendo l’utente verso il finto file .PNG. In questo caso però la favicon fasulla viene usata per caricare una web shell PHP, un malware più difficile da rilevare e bloccare, come sottolineato dal report, perché inietta il codice dello skimmer dal lato del server.

Un approccio di cybersecurity tradizionale è inefficace

Per questo motivo un approccio difensivo, basato sul blocco del database, non funzionerebbe a meno che tutti i negozi compromessi non siano aggiunti a una blacklist, situazione di per sé paradossale. Un approccio più efficace, ma al tempo stesso più complesso e con maggiore probabilità di ottenere dei falsi positivi, è di ispezionare il DOM (ovvero Document Object Model, API utilizzata per documenti HTML e XML) in tempo reale e rilevare quando è stato caricato il codice dannoso. Nonostante il cambiamento, l’attività del gruppo del cybercrime è ancora rivolta verso lo stesso obiettivo: iniettare uno skimmer per sottrarre i dettagli di pagamento delle carte dei clienti. Gli attacchi di digital skimming (talvolta chiamati e-skimming) sono una fonte di reddito molto ricca per i cybercriminali, dato che i codici delle carte di credito valgono milioni di dollari sul mercato secondario della Dark Web.

Magecart continua a innovare le sue tattiche

Magecart continua a innovare le sue tattiche. Lo scorso mese i ricercatori di cybersecurity Sucuri hanno scoperto che questi criminal hacker, fino al momento in cui potevano esfiltrare dati da siti e-commerce compromessi e basati su Magento 2, stavano salvando i dati rubati tramite file .JPG delle carte di credito. La creatività che risiede nell’utilizzo di un file .JPG finto permette ai cybercriminali di conservare e celare i dettagli delle carte di credito per un uso futuro senza farsi notare dai gestori del sito web colpito. Ed è proprio quello che è successo a dicembre quando la gang era riuscita a dirottare le transazioni di Paypal durante la stagione degli acquisti natalizi.

Il gruppo si evolverà ancora e affinerà le TTPs

Gli esperti anticipano che Magecart continuerà il suo processo evolutivo e affinerà le tattiche d’attacco fintanto che l’approccio si rivelerà profittevole. Le ultime tecniche osservate nei recenti attacchi dimostrano che, i gruppi specializzati nello skimming, stanno innovando e utilizzando tecniche già conosciute con nuovi codici e tattiche.  Le nuove scoperte suggeriscono quanto possa essere difficile per i proprietari dei siti di e-commerce rilevare l’attività di skimming senza valutare manualmente il codice o tramite l’implementazione di altre metodologie di blocco e rilevamento. La difesa contro questi attacchi passa, come sempre, da diversi layer. In primis aggiornare il proprio CMS (content management system), dato che le tattiche offensive di gruppi come Magecart sono ancora basate sullo sfruttamento di vulnerabilità note di versioni di Magento non aggiornate.

Come difendersi dallo skimming

Il controllo del codice, i penetration test (pen testing) e un costante aggiornamento di patch sono punti cruciali per evitare lo skimming delle carte di credito o altri tipi di attacchi. Tutti i siti che decidono di gestire i propri contenuti attraverso CMS come Magento, WordPress, Drupal o altre piattaforme simili, dovrebbero anche assicurarsi che i relativi plugin vengano aggiornati. Molti degli attacchi dei gruppi criminali sono diventati possibili grazie alla presenza di versioni vulnerabili di CMS e plugin. Anche i siti e i servizi che gestiscono i pagamenti sono obiettivi che attirano gli aggressori. Ecco perché, soprattutto le aziende più piccole che non hanno i mezzi per proteggersi, dovrebbero appaltare tale aspetto del business a payment processors esterni.

Non abbassiamo la guardia!

Back To Top