Sommario
Una nuova campagna di skimming delle carte di Magecart dirotta le pagine di errore 404 dei siti web dei rivenditori online, nascondendo codice malevolo per rubare le informazioni delle carte di credito dei clienti.
Dettagli della campagna
Questa tecnica รจ una delle tre varianti osservate dai ricercatori del Gruppo di Intelligenza sulla Sicurezza di Akamai. Le altre due varianti nascondono il codice nellโattributo โonerrorโ del tag immagine HTML e in unโimmagine binaria per farlo apparire come il frammento di codice Meta Pixel. Akamai afferma che la campagna si concentra sui siti Magento e WooCommerce, con alcune vittime collegate a rinomate organizzazioni nei settori alimentare e al dettaglio.
Manipolazione delle pagine 404
Tutti i siti web presentano pagine di errore 404 che vengono mostrate ai visitatori quando si accede a una pagina web che non esiste, รจ stata spostata o ha un link interrotto. Gli attori di Magecart sfruttano la pagina di default โ404 Non Trovatoโ per nascondere e caricare il codice malevolo per rubare carte, una tecnica mai vista prima nelle precedenti campagne. La tecnica di occultamento รจ altamente innovativa e rappresenta qualcosa di inedito nelle campagne Magecart precedenti.
Il loader del skimmer si maschera come un frammento di codice Meta Pixel o si nasconde allโinterno di script inline casuali giร presenti nella pagina di checkout compromessa. Il loader avvia una richiesta a un percorso relativo chiamato โiconsโ, ma poichรฉ questo percorso non esiste sul sito web, la richiesta risulta in un errore โ404 Non Trovatoโ.
Rubare i dati
Il codice skimmer mostra un falso modulo che i visitatori del sito web sono invitati a compilare con dettagli sensibili, tra cui il numero della carta di credito, la data di scadenza e il codice di sicurezza. Una volta inseriti questi dati nel modulo falso, alla vittima viene mostrato un falso errore di โtimeout della sessioneโ. Nel frattempo, tutte le informazioni vengono codificate in base64 e inviate allโattaccante tramite un URL di richiesta di immagine che trasporta la stringa come parametro di query.