I ricercatori di Akamai hanno scoperto una nuova campagna Magecart che prevede l’uso di siti legittimi per rubare i dati delle carte di credito e altre informazioni personali degli utenti. Lo skimmer non viene quindi nascosto nel sito di e-commerce. Ciò evita la sua rilevazione da parte delle protezioni di sicurezza e può rimanere invisibile per molto tempo.
Skimmer nascosto in siti legittimi
Gli skimmer vengono solitamente nascosti nei siti di e-commerce, soprattutto quelli basati su Magento (da cui il termine Magecart). Gli attacchi più recenti hanno introdotto almeno due novità. La prima riguarda la scelta dei bersagli. Oltre che i siti basati su Magento, i cybercriminali hanno preso di mira anche quelli con WooCommerce, WordPress e Shopify. Il codice dello skimmer viene iniettato in siti legittimi con buona reputazione che garantiscono una maggiore persistenza.
L’attacco inizia con la ricerca di siti vulnerabili che “ospiteranno” il codice infetto. In pratica vengono sfruttati come server C2 (command and control). Nei siti di e-commerce (i veri bersagli) viene successivamente installato un piccolo snippet JavaScript che preleva lo skimmer dal sito legittimo. I siti vengono compromessi sfruttando le vulnerabilità delle piattaforme di e-commerce o dei servizi.
L’URL del sito host viene offuscato nel codice dello skimmer, mentre lo snippet viene creato in modo da sembrare Google Tag Manager o Facebook Pixel. Quando l’ignaro utente completa la procedura di pagamento, i suoi dati personali e quelli della carta di credito vengono inviati al server controllato dai cybercriminali. Per limitare i rischi è consigliata l’installazione delle patch e l’applicazione di regole specifiche per il firewall.