Sommario
Nell’ambito della sicurezza dei siti web, anche le funzionalità più innocue possono diventare strumenti potenti nelle mani degli attaccanti e di recente è emerso un incidente che ha rivelato come i malintenzionati abbiano sfruttato i file di swap per mantenere attivo uno skimmer di carte di credito su un sito e-commerce basato su Magento. Questo metodo ingegnoso ha permesso al malware di sopravvivere a numerosi tentativi di pulizia, fino a quando gli analisti di sicurezza non hanno concluso l’indagine.
Ispezione del malware
Navigando sulla pagina di checkout del sito compromesso, gli analisti hanno scoperto uno script nascosto nel codice sorgente della pagina.
| Descrizione | Dettagli |
|---|---|
| Indicazioni di Malware | Variabili codificate in base64 e stringhe codificate in esadecimale |
| Comportamento malevolo | Script che abilita il pulsante di checkout e aggiunge binding personalizzati |
| Acquisizione Dati | La funzione querySelectorAll cattura i dati inseriti nel modulo di pagamento |
| Dominio Esterno | I dati rubati vengono inviati a amazon-analytic[.]com |
Tracciamento della fonte
L’analisi ha portato alla scoperta che il file app/bootstrap.php di Magento era stato sostituito completamente con una versione malevola.
| File Compromesso | Dettagli |
|---|---|
| app/bootstrap.php | Sostituito con uno script malevolo |
| Funzione malevola | La funzione ob_filter_callback aggiunge lo skimmer alle pagine di checkout |
Processo di rimozione del malware
Nonostante la sostituzione del file compromesso, il malware continuava a riapparire, indicando un’infezione persistente. Un esame più approfondito ha rivelato che il malware era presente anche in un file di swap.
| Procedura | Dettagli |
|---|---|
| Sostituzione File | Sostituzione di app/bootstrap.php con la versione corretta |
| Persistenza del Malware | Il malware continuava a riapparire anche dopo la pulizia |
| Esame del File di Swap | Il file swapme conteneva lo stesso script malevolo |
Mitigazione degli attacchi futuri
Per prevenire infezioni persistenti come questa, è fondamentale adottare misure di sicurezza che vadano oltre le scansioni superficiali. Restrizioni sull’accesso a sFTP, SSH, FTP e CPanel a IP di fiducia possono ridurre significativamente il rischio.
| Misure di Sicurezza | Dettagli |
|---|---|
| Restrizioni Accesso | Limitare l’accesso a sFTP, SSH, FTP e CPanel a IP di fiducia |
| Aggiornamenti CMS | Mantenere aggiornati il CMS e i plugin/moduli per evitare vulnerabilità |
| Firewall | Utilizzare firewall per proteggere le aree amministrative del sito |
L’abuso dei file di swap da parte degli attaccanti evidenzia la necessità di una sicurezza approfondita e proattiva secondo Sucuri che ha effettuato la ricerca. Limitare l’accesso amministrativo e mantenere aggiornato il software del sito sono passaggi cruciali per proteggere gli e-commerce da attacchi sofisticati.
