I “credit card sniffers” sono codici malevoli generalmente programmati in JavaScript e progettati per rubare segretamente informazioni di pagamento con carta di credito e informazioni personali identificative (PII) inserite dalla vittima su un sito Web di commercio elettronico o di un commerciante compromesso. I programmi di sniffing sono anche spesso definiti “Online Skimmer”. R3NIN è un esempio recente di uno di questi “sniffer”.
Come funzionano gli Sniffer?
Un attaccante inietta un server web con uno script dannoso oscurato, che viene attivato una volta che una vittima visita la pagina compromessa. Lo script cattura le variabili di input, le converte in una stringa e le invia al pannello dello sniffer ospitato dall’attaccante. L’attaccante sfrutta anche l’iFrame (un frame inline utilizzato all’interno di una pagina web per caricare un altro documento HTML al suo interno) ingannando le vittime affinché inseriscano ulteriori dati richiesti da una falsa finestra pop-up, che idealmente non è richiesta su una pagina legittima.
Una volta che gli aggressori hanno esfiltrato con successo i dati della vittima da un sito web compromesso, questi vengono elaborati in un formato commercializzato – Numero | Scadenza | CVV | Nome, e venduti in forum sotterranei, dove vengono utilizzati per altri scopi illeciti come il “carding”.
Questa ricerca è stata condotta da Cyble Research & Intelligence Labs
R3NIN Sniffer
R3NIN Sniffer è un toolkit e un pannello pronto all’uso per rubare dati di pagamento con carta di credito da siti web di commercio elettronico compromessi e viene venduto in un noto forum di cybercrime in lingua russa dal threat actor che utilizza lo stesso pseudonimo, “r3nin”. Le caratteristiche salienti di questo toolkit includono opzioni per generare codici JavaScript personalizzati per l’iniezione, l’esfiltrazione incrociata di dati di pagamento compromessi su browser diversi, la gestione dei dati esfiltrati, la verifica dei BIN, la conversione dei dati e la generazione di statistiche. Il toolkit dello sniffer viene offerto ad un prezzo introduttivo di 1.500 dollari USA, ma successivamente è stato rivisto ad una fascia di prezzo compresa tra 3.000 e 4.500 dollari USA.
Il 13 gennaio 2023 è stata rilasciata la versione 1.1, che includeva funzionalità migliorate per un bypass di Cross-Origin Resource Sharing (CORS) migliore e aggiunta una nuova funzionalità, “Extractor”. Il 15 gennaio, la versione 1.2 è stata rilasciata, che includeva funzionalità per nascondere completamente gli script dannosi e nascondere gli URL del server di controllo e comando (C&C). Il 26 gennaio, è stata annunciata un’altra aggiornamento per aggiungere un keylogger nel modulo dello sniffer che può registrare gli input da più campi di input, cioè “inputs”, “selects” e “textareas” in un sito compromesso. Il 30 gennaio, è stata introdotta la compatibilità del modulo dello sniffer con un’altra funzionalità chiamata “Clipboard Hijacking”. Questa funzionalità consente al modulo di intercettare e registrare tutto ciò che viene copiato negli appunti del computer dell’utente, come ad esempio password, informazioni personali e altro ancora.
Il 2 febbraio, gli sviluppatori hanno rilasciato un altro aggiornamento che ha introdotto una funzionalità di “Backdoor” nel modulo dello sniffer. Questa funzionalità consente agli attaccanti di accedere al sito compromesso in qualsiasi momento, senza la necessità di autenticarsi o di avere accesso alle credenziali dell’amministratore del sito.
Il 5 febbraio, i ricercatori della sicurezza hanno scoperto che il malware si diffonde anche attraverso campagne di phishing tramite e-mail. Gli attaccanti inviano e-mail di phishing a utenti specifici, contenenti link malevoli che portano a siti web compromessi contenenti il malware.
Da allora, sono state introdotte altre funzionalità nel malware, come la possibilità di installare moduli aggiuntivi a discrezione degli attaccanti e la capacità di rubare le chiavi di criptazione SSL/TLS per effettuare attacchi di tipo “Man-in-the-Middle”.
In generale, il malware si è evoluto in un’arma potente e sofisticata che rappresenta una minaccia significativa per la sicurezza degli utenti di Internet e dei siti web. È importante che gli utenti e gli amministratori di siti web adottino le precauzioni necessarie per proteggere se stessi e i propri siti web da questa minaccia in costante evoluzione.
Il parere di Odisseus
Interpellato da Matrice Digitale, il ricercatore Odisseus ha dichiarato alla redazione che “Mai come in di questi tempi è stato rischioso fare acquisti sul Web. Eh si, bisogna sapere che ogni volta che mettete i dati della vostra carta di credito su un sito web, questo potrebbe essere stato compromesso a vostra insaputa sicuramente, ma anche, purtroppo ad insaputa dei gestori del sito stesso dove state effettuando l’acquisto. Non stiamo parlando dei grandi, come Amazon o Google che teoricamente si possono permettere infrastrutture iper controllate: parliamo dei piccoli, dei siti di moda, di cibo, di quelli che utilizzano infrastrutture a buon mercato che costano poco e che sono il bersaglio preferito delle gang criminali. Stanno infatti emergendo ricerche e analisi che documentano come l’attività criminale si concentri recentemente proprio nel “defacing” dei siti di e-commerce, il che significa che all’insaputa degli utenti qualcuno ha inserito alcuni “script aggiuntivi” nel sito che vende le vostre scarpe preferite ad esempio, il quale “spedisce” i dati della vostra carta di credito su siti pirata ben camuffati, che pensano poi a derubarvi con comodo avendo tutte le informazioni essenziali per farlo. In alcuni studi infatti si esortano i siti di e-commerce a monitorare i traffico degli acquisti per essere sicuri di non aver subito attacchi, appello che cadrà probabilmente nel vuoto: difficile avere personale esperto che monitora le transazioni h24. Ancor più difficile per gli utenti identificare la truffa, bisognerebbe analizzare il codice sorgente delle pagine web, cosa molto difficile per gli esperti, figuriamoci per i meno esperti. I consigli sempre sono quelli rivolti agli utenti che scaricano le App: ogni volta che scaricate qualcosa, ogni volta che mettete i vostri soldi su Internet, fate attenzione, la truffa e il furto sono dietro l’angolo. “
Le foto arrivano da uno studio giapponese e si riferisce al Giappone dove è stato incaricato il centro di controllo del crimine informatico nipponico: l’equivalente della nostra ACN per intenderci.
