I ricercatori di cybersecurity hanno scoperto una nuova campagna di Web Skimmer in corso, progettata per rubare informazioni personali identificabili (PII) e dati delle carte di credito dai siti di e-commerce. Un aspetto degno di nota che la distingue da altre campagne di Magecart è che i siti compromessi fungono da server di comando e controllo (C2) “improvvisati”, utilizzando la copertura per facilitare la distribuzione del codice malevolo senza la conoscenza dei siti vittima.
L’uso dei siti compromessi come server C2
La società di sicurezza web Akamai ha dichiarato di aver identificato vittime di varie dimensioni in Nord America, America Latina ed Europa, mettendo potenzialmente a rischio i dati personali di migliaia di visitatori del sito di essere raccolti e venduti per profitti illeciti. “Gli aggressori impiegano una serie di tecniche di evasione durante la campagna, tra cui l’offuscamento [utilizzando] Base64 e mascherando l’attacco per farlo assomigliare a servizi di terze parti popolari, come Google Analytics o Google Tag Manager”, ha detto il ricercatore di sicurezza di Akamai, Roman Lvovsky.
L’effetto dell’attacco
Il risultato degli attacchi sono due tipi di vittime: i siti legittimi che sono stati compromessi per fungere da “centro di distribuzione” per il malware e i siti di e-commerce vulnerabili che sono l’obiettivo degli skimmer. In alcuni casi, i siti web non sono stati solo soggetti a furto di dati, ma hanno anche servito involontariamente come veicolo per diffondere il malware ad altri siti web suscettibili.
L’uso di Magento, WooCommerce, WordPress e Shopify
“L’attacco ha incluso lo sfruttamento di Magento, WooCommerce, WordPress e Shopify, dimostrando la crescente varietà di vulnerabilità e piattaforme di commercio digitale abusabili”, ha detto Lvovsky. Sfruttando la fiducia stabilita nel tempo dai siti web, la tecnica crea un “schermo di fumo” che rende difficile identificare e rispondere a tali attacchi.
Cosa è un attacco web skimmer?
Un attacco web skimmer è un tipo di attacco informatico che mira a rubare dati sensibili, come le informazioni delle carte di credito, dai siti web di e-commerce. Questo viene fatto iniettando codice malevolo, o “skimmer”, nelle pagine web di checkout dei siti di e-commerce. Quando un cliente inserisce le proprie informazioni di pagamento, lo skimmer cattura queste informazioni e le invia all’attaccante.
Gli attacchi web skimmer sono particolarmente insidiosi perché possono essere molto difficili da rilevare. Il codice skimmer può essere molto piccolo e può essere nascosto o mascherato per sembrare parte del codice legittimo del sito web. Inoltre, poiché lo skimmer opera nel browser del cliente, i metodi di sicurezza tradizionali come i firewall o i sistemi di prevenzione delle intrusioni non sono efficaci per rilevarlo o bloccarlo.