I ricercatori di sicurezza di BlackBerry hanno scoperto una nuova campagna di web skimming mirata ai provider delle infrastrutture per i pagamenti online. Questa campagna, denominata “Silent Skimmer”, ha l’obiettivo di compromettere la fase di pagamento al fine di acquisire dati sensibili degli utenti.
Il web skimming, noto anche come formjacking o attacco Magecart, è una tecnica ampiamente diffusa che implica l’inserimento di codice malevolo in un sito web al fine di estrarre le informazioni inserite dagli utenti nei form HTML.
Gli attaccanti hanno sfruttato varie vulnerabilità nelle applicazioni web per ottenere accesso ai server e prendere il controllo dell’infrastruttura. Secondo il team di BlackBerry, il gruppo utilizza almeno nove strumenti open source diversi, tra cui BadPotato e GodPotato per l’escalation dei privilegi e SharpToken per la codifica delle stringhe, oltre a CobaltStrike.
Una volta ottenuti i privilegi di amministratore, i cybercriminali utilizzano script JavaScript offuscati per estrarre i dettagli di pagamento inseriti dagli utenti nei form. Queste informazioni vengono poi inviate a un server C2 per essere utilizzate in futuri attacchi.
Il gruppo sfrutta l’hosting dei virtual private server (VPS) temporanei ospitati principalmente su Azure, come server C2. In genere, ogni nodo VPS degli attaccanti rimane attivo per meno di una settimana prima di essere sostituito da un altro.
Gli esperti fanno notare che il gruppo seleziona la localizzazione dei server in base al luogo delle vittime. Ad esempio, se il target è un’azienda con sede in Canada, il gruppo attiva un VPS nella stessa area geografica. Questa strategia serve a rendere più difficile il rilevamento del traffico sospetto, come spiegato dai ricercatori.
Il gruppo è attivo da oltre un anno, ma al momento non è nota l’identità degli attaccanti. Tuttavia, ci sono molte indicazioni che suggeriscono un’origine cinese per questi cybercriminali.
Inizialmente, gli attacchi erano mirati alle aziende nell’area Asia Pacifico, ma a partire da ottobre 2022 hanno ampliato il loro bersaglio, colpendo anche le imprese del Nord America e dell’America Latina. I ricercatori ritengono che il gruppo sia alla ricerca di nuove vittime e opportunità di attacco, quindi, è probabile che vedremo nuove campagne Silent Skimmer nei prossimi mesi.