Site icon Matrice Digitale

Sotheby’s vittima di formjacking: compromessi più di 100 siti web

Tempo di lettura: 2 minuti.

Gli attori delle minacce hanno sfruttato un servizio di hosting video cloud per eseguire un attacco alla catena di approvvigionamento su oltre 100 siti Web immobiliari gestiti da Sotheby’s Realty con un attacco skimmer con il fine di rubare informazioni personali sensibili.

L’attaccante ha iniettato i codici JavaScript dello skimmer nel video, quindi ogni volta che altri importano il video, anche i loro siti Web vengono incorporati con codici skimmer“, hanno affermato i ricercatori dell’Unità 42 di Palo Alto Networks in un rapporto pubblicato questa settimana.

Gli attacchi skimmer, chiamati anche formjacking, si riferiscono a un tipo di attacco informatico in cui i malintenzionati inseriscono codice JavaScript dannoso nel sito Web di destinazione, molto spesso nelle pagine di pagamento o pagamento su portali di shopping e di e-commerce, per raccogliere informazioni preziose come la carta di credito dati inseriti dagli utenti.

Nell’ultima incarnazione degli attacchi Magecart, gli operatori dietro la campagna hanno violato l’account Brightcove di Sotheby’s e hanno distribuito codice dannoso nel lettore della piattaforma video cloud manomettendo uno script che può essere caricato per aggiungere personalizzazioni JavaScript al lettore video.

L’attaccante ha alterato lo script statico nella sua posizione ospitata allegando il codice skimmer. Al successivo aggiornamento del lettore, la piattaforma video ha re-ingerito il file compromesso e lo ha servito insieme al lettore colpito“, hanno detto i ricercatori, aggiungendo che ha funzionato con il servizio video e la società immobiliare per aiutare a rimuovere il malware.

Si dice che la campagna sia iniziata già nel gennaio 2021, secondo MalwareBytes, con le informazioni raccolte – nomi, e-mail, numeri di telefono, dati della carta di credito – esfiltrate su un server remoto “cdn-imgcloud[.]com” che ha funzionato anche come dominio di raccolta per un attacco Magecart rivolto a Amazon CloudFront CDN nel giugno 2019.

Per rilevare e prevenire l’iniezione di codice dannoso nei siti online, si consiglia di eseguire controlli periodici dell’integrità dei contenuti Web, per non parlare della protezione degli account da tentativi di acquisizione e di prestare attenzione a potenziali schemi di ingegneria sociale.

Lo skimmer stesso è altamente polimorfico, sfuggente e in continua evoluzione”, hanno detto i ricercatori. “Se combinato con piattaforme di distribuzione cloud, l’impatto di uno skimmer di questo tipo potrebbe essere molto grande“.

Exit mobile version