I ricercatori di Akamai hanno scoperto una nuova campagna skimmer in stile Magecart che presenta una caratteristica distintiva: utilizza siti Web legittimi compromessi per facilitare l’occultamento di attacchi su altri siti Web mirati dietro i loro domini autentici.
L’obiettivo principale di un attacco Magecart è rubare informazioni di identificazione personale (PII) e dettagli della carta di credito dalle pagine di pagamento dei siti Web di e-commerce legittimi.
Tradizionalmente, questo tipo di attacco veniva eseguito principalmente sulla piattaforma e-commerce Magento; in questa campagna, invece, i ricercatori hanno identificato lo sfruttamento di Magento, WooCommerce, WordPress e Shopify, dimostrando la crescente varietà di vulnerabilità e piattaforme sfruttabili dagli attaccanti.
La nuova campagna identificata, attiva e in corso, sfrutta infrastrutture e capacità sofisticate per fornire attacchi di web skimming in stile Magecart. Gli aggressori impiegano una serie di tecniche di evasione, tra cui l’offuscamento di Base64 e il mascheramento dell’attacco per assomigliare a servizi di terze parti popolari, come Google Analytics o Google Tag Manager. In particolare, gli aggressori “dirottano” siti Web legittimi per agire come server di comando e controllo (C2) improvvisati. Queste “vittime ospitanti” fungono da centri di distribuzione per codice dannoso, all’insaputa della vittima, nascondendo efficacemente l’attacco dietro un dominio legittimo, spiegano i ricercatori.
Una delle parti più importanti della campagna è il modo in cui gli aggressori hanno impostato la propria infrastruttura per condurre la campagna di web skimming. Prima che la campagna possa iniziare sul serio, gli aggressori cercheranno siti Web vulnerabili che fungano da “host” per il codice dannoso utilizzato in seguito per creare l’attacco di web skimming.
Anziché utilizzare il server C2 degli aggressori per ospitare codice dannoso, che può essere contrassegnato come dominio dannoso, gli aggressori penetrano (utilizzando vulnerabilità o qualsiasi altro mezzo a loro disposizione) in un sito vulnerabile e legittimo, come un piccolo o medio sito web di vendita al dettaglio di dimensioni ridotte e nascondono il loro codice al suo interno. Così facendo, gli aggressori creano un host apparentemente integro per il loro codice dannoso e possono consegnarlo a qualsiasi vittima scelgano.
In sostanza, questa campagna si rivolge a due diversi gruppi di vittime: vittime host, ossia siti web legittimi che vengono dirottati allo scopo di ospitare il codice dannoso utilizzato nell’attacco. Gli aggressori utilizzeranno quindi questi siti per fornire il loro codice durante un attacco, sollevando pochi sospetti in quanto questi siti normalmente operano come aziende legittime. L’intenzione è quella di nascondere l’attività dannosa dietro un dominio con una buona reputazione. E vittime web skimming, siti Web commerciali vulnerabili che vengono presi di mira da un attacco di web skimming in stile Magecart in cui gli aggressori, invece di inserire direttamente il codice di attacco nelle risorse del sito Web, utilizzano piccoli frammenti di codice JavaScript per recuperare l’intero codice di attacco dal sito Web della vittima host, consentendo loro di nascondere in modo più efficace la maggior parte del codice dannoso utilizzato nell’attacco.
Sebbene non sia chiaro in che modo questi siti vengano violati, sulla base della recente ricerca di campagne precedenti simili svolte dai ricercatori di Akamai, gli aggressori di solito cercano vulnerabilità nella piattaforma e-commerce dei siti Web presi di mira (come Magento, WooCommerce, WordPress, Shopify, ecc.) o nei servizi vulnerabili di terze parti utilizzati dal sito web.
Questa campagna si rivolge principalmente alle organizzazioni commerciali. La portata dell’attacco, tuttavia, è notevole. Alcune organizzazioni di vittime registrano migliaia di visitatori al mese. Ciò può comportare migliaia, anche decine di migliaia, di vittime di dati di carte di credito e PII rubati.
Per molte delle vittime, l’attacco è passato inosservato per quasi un mese, aumentando il potenziale di danni. Le vittime sono state identificate in Nord America, America Latina ed Europa e hanno dimensioni variabili.
I ricercatori di sicurezza prevedono che campagne simili continueranno a verificarsi. Mentre continua la ricerca della difesa del web skimming, è fondamentale rimanere proattivi e investire in misure di sicurezza innovative, sottolineano i ricercatori di Akamai.
https://www.akamai.com/blog/security-research/new-magecart-hides-behind-legit-domains